Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad crítica que afecta a Apache Commons BCEL de IBM Maximo Manage Application, que permitiría a un atacante remoto realizar escritura fuera de límites en las APIs y evadir los controles de acceso del sistema afectado.
La vulnerabilidad identificada como CVE-2022-42920, de severidad “Crítica” y con puntuación asignada de 9.8. Esta vulnerabilidad de escritura fuera de límites se debe a una falla de seguridad de evasión de controles de acceso en la API de Apache Commons BCEL de IBM Maximo Manage Application en IBM Maximo Application Suite. Esto permitiría a un atacante remoto a través de una solicitud especialmente diseñada, realizar evasión de controles de acceso en las APIs afectadas para así obtener control de la ejecución del programa.
Las versiones afectadas son:
- IBM Maximo Application Suite (MAS) versión 8.8, herramienta IBM Maximo Manage Application versión 8.4.
- IBM Maximo Application Suite (MAS) versión 8.9, herramienta IBM Maximo Manage Application versión 8.5.
Recomendamos acceder a las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces:
Referencias:
- https://www.ibm.com/support/pages/node/6962849
- https://nvd.nist.gov/vuln/detail/CVE-2022-42920
- https://www.ibm.com/support/fixcentral/swg/downloadFixes?parent=ibm%7ETivoli&product=ibm/Tivoli/IBM+Maximo+Application+Suite&release=8.8.4&platform=Linux&function=fixId&fixids=8.8.5-IBM-MAS-FP0001&includeRequisites=1&includeSupersedes=0&downloadMethod=http
- https://www.ibm.com/support/fixcentral/swg/downloadFixes?parent=ibm%7ETivoli&product=ibm/Tivoli/IBM+Maximo+Application+Suite&release=8.9.0&platform=Linux&function=fixId&fixids=8.9.1-IBM-MAS-FP0001&includeRequisites=1&includeSupersedes=0&downloadMethod=http