TIBCO ha reportado dos vulnerabilidades
en sus productos TIBCO Spotfire, una de ellas afecta a la interfaz web y expone
ficheros sensibles, y la otra es del tipo Cross-Site Scripting (XSS) reflejado
y afecta al servidor web, catalogadas de Importancia: 5 - Crítica
Recursos
afectados:
Está
afectada la interfaz web de los siguientes productos:
- TIBCO Spotfire Statistics
Services, versiones 7.11.1 y anteriores.
- TIBCO Spotfire Statistics
Services, versión 10.0.0
- Está afectado el servidor web de
los siguientes productos:
- TIBCO Spotfire Analytics Platform
para AWS Marketplace, versiones 7.14.0, 7.14.1, 10.0.0, 10.0.1, 10.1.0 y
10.2.0
- TIBCO Spotfire Server, versiones
7.14.0, 10.0.0, 10.0.1, 10.1.0 y 10.2.0
Recomendación
TIBCO ha lanzado versiones
actualizadas de los componentes afectados que abordan estos problemas:
- Las versiones 7.11.1 y
posteriores de TIBCO Spotfire Services Services se actualizan a la versión
7.11.2 o superior.
- La versión 10.0.0 de TIBCO
Spotfire Statistics Services se actualiza a 10.0.1 o superior.
- La plataforma TIBCO Spotfire
Analytics para AWS Marketplace, versiones 7.14.0, 7.14.1, 10.0.0, 10.0.1,
10.1.0 y 10.2.0, se actualiza a 10.3.0 o superior.
- Las versiones 7.1.4.0, 10.0.0,
10.0.1, 10.1.0 y 10.2.0 del servidor TIBCO Spotfire se actualizan a 10.2.1
o superior.
Detalle
de vulnerabilidades
- La vulnerabilidad que expone
archivos confidenciales afecta a la interfaz web y podría permitir que un
usuario autenticado acceda a información confidencial del servidor de
servicios de estadísticas de Spotfire. La información confidencial que
podría verse afectada incluye bases de datos, JMX, LDAP, cuentas de
servicio de Windows y credenciales de usuario. Se ha asignado el
identificador CVE-2019-11204 a esta vulnerabilidad.
- La vulnerabilidad del tipo
Cross-Site Scripting (XSS) reflejado afecta al servidor web y podría
permitir que un atacante no autenticado ganara acceso administrativo a la
interfaz web del servidor web. Se ha asignado el identificador CVE-2019-11205
a esta vulnerabilidad.
Más
información
Fuente: INCIBE