Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Múltiples vulnerabilidades en el centro de control de IBM

  • Publicado: 08/05/2019
  • Importancia: Alta
Recursos afectados

Múltiples vulnerabilidades en el centro de control de IBM, que podrían ser explotados y realizar ataques de scripts entre sitios, divulgar información confidencial, manipular datos, evitar restricciones de seguridad, provocar una DoS (denegación de servicios) y comprometer un sistema vulnerable.

Productos afectados:

IBM Control Center 6.x

CVE-2018-1890: IBM SDK, Java Technology Edition Versión 8 en la plataforma AIX utiliza RPATHs absolutos que pueden facilitar la inyección de código y la elevación de privilegios por parte de los usuarios locales.

CVE-2014-7810: La implementación del Lenguaje de Expresión (EL) en Apache Tomcat 6.x - 6.0.44, 7.x - 7.0.58, y 8.x - 8.0.16 no considera adecuadamente la posibilidad de una interfaz accesible implementada por una clase inaccesible, lo que permite a los atacantes eludir un mecanismo de protección de SecurityManager a través de una aplicación web que aprovecha el uso de privilegios incorrectos durante la evaluación del lenguaje de expresión(EL).

CVE-2018-3180: La vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de SSL/TLS comprometa a Java SE, Java SE Embedded, JRockit. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización no autorizada, inserción o eliminación de acceso a algunos de los datos accesibles de Java SE, Java SE Embedded, JRockit, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Java SE, Java SE Embedded, JRockit y la capacidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de Java SE, Java SE Embedded, JRockit.

CVE-2018-1767: IBM WebSphere Application Server 7.0, 8.0, 8.5 y 9.0 Cachemonitor es vulnerable a las secuencias de comandos entre sitios. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario de la Web, alterando así la funcionalidad prevista que puede conducir a la divulgación de credenciales dentro de una sesión de confianza.

CVE-2018-3169: Vulnerabilidad en el Java SE, componente Java SE Embedded de Oracle Java SE (subcomponente: Hotspot). Las versiones compatibles afectadas son Java SE: 7u191, 8u182 y 11; Java SE Embedded: 8u181. La dificultad para explotar la vulnerabilidad permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa a Java SE, Java SE Embedded. Los ataques exitosos requieren la interacción humana de una persona que no sea el atacante y mientras la vulnerabilidad esté en Java SE, Java SE Embedded, los ataques pueden tener un impacto significativo en productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la adquisición de Java SE, Java SE Embedded.

Etiquetas