Múltiples vulnerabilidades en productos IBM
Para las vulnerabilidades CVE-2025-36354, CVE-2025-36355, CVE-2025-363546:
- IBM Verify Identity Access Docker, versiones desde 11.0.0.0 hasta 11.0.1.0;
- IBM Security Verify Access Docker, versiones desde 10.0.0.0 hasta 10.0.9.0-IF2;
- IBM Verify Identity Access Appliance, versiones desde 11.0.0.0 hasta 11.0.1.0;
- IBM Security Verify Access Appliance, versiones desde 10.0.0.0 hasta 10.0.9.0-IF2;
Para la vulnerabilidad CVE-2023-49886:
- IBM Transformation Extender Advanced, versión 10.0.1.
IBM ha publicado 2 avisos con 4 vulnerabilidades en total, 2 de ellas de severidad crítica y 2 alta. Las vulnerabilidades críticas, en caso de ser explotadas, podrían permitir a un atacante aumentar sus privilegios a root y ejecutar código arbitrario en el sistema afectado.
Actualizar el producto lo antes posible.
Para los productos Docker, se puede obtener la última versión ejecutando el comando 'docker pull icr.io/isva/verify-access:[etiqueta]' donde [etiqueta] es la última versión del producto que se puede consultar en: https://docs.verify.ibm.com/ibm-security-verify-access/docs/containers
Las vulnerabilidades de severidad crítica son:
- CVE-2025-36356: IBM Security Verify Access podría permitir a un usuario autenticado en local escalar sus privilegios a root por una ejecución con más privilegios de los necesarios.
- CVE-2023-49886: IBM Standards Processing Engine podría permitir a un atacante remoto ejecutar código arbitrario en el sistema, producto de una deserialización java no segura. Con el envío de una entrada especialmente manipulada, un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema.
Las vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2025-36355 y CVE-2025-36354 y su detalle se puede consultar en los enlaces de las referencias.
