Múltiples vulnerabilidades en IBM Security Key Lifecycle Manager
Fecha de publicación: 08/01/2018
Importancia:
Alta
Recursos afectados:
- IBM Security Key Lifecycle Manager v2.5 – 2.5.0.8, v2.6 – 2.6.0.3 y v2.7 – 2.7.0.2
Descripción:
Detectadas varias vulnerabilidades en IBM Security Key Lifecycle Manager, que podrían permitir a un atacante remoto realizar acciones no deseadas.
Impacto:
IBM recomienda actualizar los sistemas afectados:
- IBM Security Key Lifecycle Manager 2.5 – 2.5.0.8 en 2.5.0-ISS-SKLM-FP0009
- IBM Security Key Lifecycle Manager 2.6- 2.6.0.3 en 2.6.0-ISS-SKLM-FP0004
- IBM Security Key Lifecycle Manager 2.7- 2.7.0.2 en 2.7.0-ISS-SKLM
Detalle:
Investigadores de IBM X-Force Ethical Hacking, han detectado cuatro vulnerabilidades de criticidad alta en Security Key Lifecycle Manager.
- Salto de directorio. Esta vulnerabilidad permitiría a un atacante remoto realizar un salto de directorio en el sistema, permitiéndole ver ficheros arbitrarios del sistema. Para esta vulnerabilidad se ha asignado el CVE-2017-1671.
- Redirección de URL a través de suplantación. Esta vulnerabilidad permitiría a un atacante remoto realizar ataques de phishing usando un ataque de redirección abierto. Para esta vulnerabilidad se ha asignado el CVE-2017-1668.
- Inyección de SQL. Esta vulnerabilidad permitiría a un atacante remoto enviar sentencias SQL especialmente diseñadas para ver, añadir, modificar o eliminar información de la base de datos. Para esta vulnerabilidad se ha asignado el CVE-2017-1670.
- Inyección XXE. Esta vulnerabilidad permitiría a un atacante remoto exponer información confidencial o consumir recursos de memoria mediante ataques de tipo External Entity Injection (XXE). Para esta vulnerabilidad se ha asignado el CVE-2017-1666.
Etiquetas:
Actualización, IBM, Vulnerabilidad
Powered by WPeMatico