Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a IBM App Connect Enterprise e IBM Integration Bus, que permitirían a un atacante realizar ejecución remota de código (RCE) y escalamiento de privilegio en el sistema afectado.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2021-44906, de severidad “Alta” y puntuación asignada de 8.5. Esta vulnerabilidad se debe a que la aplicación no controla adecuadamente el consumo de recursos internos. Un atacante remoto podría realizar escalamiento de privilegios, agregando o modificando las propiedades de Object.prototype, utilizando un constructor o __proto__ carga útil, obteniendo la contaminación del prototipo y la pérdida de confidencialidad, disponibilidad e integridad.
Salto de página
- CVE-2022-44906, de severidad “Media” y puntuación asignada de 5.7. Esta vulnerabilidad existe debido a la contaminación del prototipo en la función setKey () en el script index.js. Un atacante remoto podría enviar una solicitud especialmente diseñada para aprovechar la vulnerabilidad y realizar ejecución remota de código (RCE) en el sistema afectado.
Las versiones afectadas de los productos de IBM son:
- IBM Integration Bus: Versiones 10.0.0.0 al 10.0.0.26.
- IBM App Connect Enterprise: Versiones 11.0.0.0 al 12.0.3.0
Recomendamos actualizar los productos accediendo a los siguientes enlaces proveídos por IBM:
Referencias: