IBM ha publicado una vulnerabilidad de
tipo inyección de CSV en sus productos IBM API Connect, catalogada de Importancia:
4 - Alta
Recursos
afectados:
IBM API Connect desde la versión
5.0.0.0 hasta la 5.0.8.4 y desde la versión 2018.1 hasta la 2018.3.6
Recomendación
- Para las
versiones desde la 5.0.0.0 hasta la 5.0.8.4, aplicar el paquete apropiado
dentro del listado disponible. https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/IBM+API+Connect&release=5.0.8.4&platform=All&function=all&source=fc
- Para las
versiones desde la 2018.1 hasta la 2018.3.6, aplicar el paquete apropiado dentro
del listado disponible. https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/IBM+API+Connect&release=2018.1.0&platform=All&function=all
Detalle
de vulnerabilidades
IBM API Connect es vulnerable a la
inyección de CSV a través de su Developer Portal o de los análisis que podrían
contener comandos maliciosos que se ejecutarían una vez abiertos por un
administrador. Se ha reservado el identificador CVE-2018-1774 para esta
vulnerabilidad.
Más
información
Security Bulletin: IBM API Connect is
vulnerable to CSV Injection (CVE-2018-1774) https://www-01.ibm.com/support/docview.wss?uid=ibm10737867
Fuente: INCIBE