Falsification de requêtes côté serveur (SSRF) : de multiples vulnérabilités découvertes dans les produits IBM

De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Risques

• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Déni de service à distance
• Exécution de code arbitraire à distance
• Falsification de requêtes côté serveur (SSRF)
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• Cognos Analytics versions 11.2.x antérieures à 11.2.4 IF4
• Cognos Analytics versions 12.0.x antérieures à 12.0.4 FP1
• Db2 versions antérieures à 5.2.0 pour Cloud Pak for Data
• Db2 warehouse versions antérieures à 5.2.0 pour Cloud Pak for Data
• Security QRadar EDR versions antérieures à 3.12.16

Solutions

• Effectuer une mise à jour vers les versions affectées avec les nouvelles disponibles

Source : CERT-FR