Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en archivos DXP en la biblioteca en el componente Visualizations de TIBCO Software Inc.'s TIBCO Spotfire Analyst, (CVE-2019-17334)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/12/2019
Última modificación:
27/12/2019

Descripción

El componente Visualizations de TIBCO Software Inc.'s TIBCO Spotfire Analyst, TIBCO Spotfire Analytics Platform para AWS Marketplace, TIBCO Spotfire Deployment Kit, TIBCO Spotfire Desktop, y TIBCO Spotfire Desktop Language Packs, contiene una vulnerabilidad que teóricamente permite a un atacante, con permiso para escribir archivos DXP en la biblioteca de Spotfire, ejecutar código remotamente de su elección en la cuenta de usuario de otros usuarios que acceden al sistema afectado. Este ataque es un riesgo solo cuando el atacante tiene acceso de escritura a un sistema de archivos de red compartido con el sistema afectado. Las versiones afectadas son TIBCO Software Inc.'s TIBCO Spotfire Analyst: versiones 7.11.1 y por debajo, versiones 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3 .1 y 10.3.2, versiones 10.4.0, 10.5.0 y 10.6.0, TIBCO Spotfire Analytics Platform para AWS Marketplace: versión 10.6.0, TIBCO Spotfire Deployment Kit: versiones 7.11.1 y por debajo, TIBCO Spotfire Desktop : versiones 7.11.1 y por debajo, versiones 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1 y 10.3.2, versiones 10.4.0, 10.5.0 y 10.6.0, y TIBCO Spotfire Desktop Language Packs: versiones 7.11.1 y por debajo.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.00 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:M/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.00 MEDIA
Vector: AV:N/AC:M/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:tibco:spotfire_analyst:*:*:*:*:*:*:*:* 7.11.1 (incluyendo)
cpe:2.3:a:tibco:spotfire_analyst:7.12.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:7.13.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:7.14.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:10.0.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:10.1.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:10.2.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:10.3.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:10.3.1:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:10.3.2:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:10.4.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:10.5.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analyst:10.6.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_analytics_platform_for_aws:10.6.0:*:*:*:*:*:*:*
cpe:2.3:a:tibco:spotfire_deployment_kit:*:*:*:*:*:*:*:* 7.11.1 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información