Vulnerabilidad en los componentes FTL Server (tibftlserver), FTL C API, FTL Golang API, FTL Java API y FTL .Net API de TIBCO Software Inc (CVE-2021-28820)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-427
Elemento no controlado en la ruta de búsqueda
Fecha de publicación:
23/03/2021
Última modificación:
07/11/2023
Descripción
Los componentes FTL Server (tibftlserver), FTL C API, FTL Golang API, FTL Java API y FTL .Net API de TIBCO Software Inc. TIBCO FTL - Community Edition, TIBCO FTL - Developer Edition y TIBCO FTL - Enterprise Edition contienen una vulnerabilidad que teóricamente permite que un atacante poco privilegiado y con acceso local en el sistema operativo Windows inserte software malicioso. Se puede abusar del componente afectado para ejecutar el software malicioso insertado por el atacante con los privilegios elevados del componente. Esta vulnerabilidad es debido a que el componente afectado busca artefactos en tiempo de ejecución fuera de la jerarquía de instalación. Las versiones afectadas son TIBCO FTL - Community Edition de TIBCO Software Inc.: versiones 6.5.0 y por debajo, TIBCO FTL - Developer Edition: versiones 6.5.0 y por debajo, y TIBCO FTL - Enterprise Edition: versiones 6.5.0 y por debajo
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tibco:ftl:*:*:*:*:community:*:*:* | 6.6.0 (excluyendo) | |
| cpe:2.3:a:tibco:ftl:*:*:*:*:developer:*:*:* | 6.6.0 (excluyendo) | |
| cpe:2.3:a:tibco:ftl:*:*:*:*:enterprise:*:*:* | 6.6.0 (excluyendo) | |
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página