Múltiples vulnerabilidades en IBM Planning Analytics

Fecha de publicación: 04/02/2022

Importancia:
Crítica

Recursos afectados:

• IBM Planning Analytics 2.0;
• IBM Planning Analytics Workspace 2.0.

Descripción:

IBM ha reportado 11 vulnerabilidades: 2 críticas, 2 altas, 3 medias y 4 bajas, por las que un atacante podría causar un impacto en la confidencialidad, en la integridad y en la disponibilidad, una denegación de servicio, obtener información sensible, desbordar un búfer, ejecutar código arbitrario, acceder a directorios restringidos, realizar una ejecución remota de código o tomar el control del sistema.

Solución:

Aplicar las actualizaciones de seguridad más recientes:

• IBM Planning Analytics Local 2.0.9.11;
• IBM Planning Analytics Workspace 2.0.72.

Detalle:

• La API DQM de IBM Planning Analytics permite el envío de todas las solicitudes de control en sesiones no autenticadas. Esto podría permitir a un atacante remoto que puede acceder (sin autenticación previa) a un endpoint válido de PA para leer y escribir archivos en el sistema de IBM Planning Analytics. Se ha asignado el identificador CVE-2021-38892 para esta vulnerabilidad.
• Eclipse OpenJ9 es vulnerable a un desbordamiento del búfer basado en la pila cuando la máquina virtual o los nativos de JNI están convirtiendo caracteres UTF-8 a la codificación de la plataforma. Se ha asignado el identificador CVE-2020-2722 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2021-36090 y CVE-2021-2388.

Para las vulnerabilidades de severidad media y baja se han asignado los identificadores: CVE-2021-2161, CVE-2021-35517, CVE-2021-2369, CVE-2020-14797, CVE-2020-14779, CVE-2020-14782 y CVE-2020-14796.

Etiquetas:
Actualización, IBM, Vulnerabilidad