26 de febrero de 2020

IBM. Vulnerabilidad de inyección SQL en múltiples productos de la firma.

Los productos IBM Emptoris Spend Analysis e IBM Emptoris Strategic Supply Management Platform contienen una vulnerabilidad, de severidad alta, de tipo inyección SQL.
Recursos afectados:
1)   IBM Emptoris Spend Analysis, versiones:
a)   10.1.0.x;
b)   10.1.1.x;
c)    10.1.3.x.
2)   IBM Emptoris Strategic Supply Management Platform, versiones:
a)   10.1.0.x;
b)   10.1.1.x;
c)    10.1.3.x.
Detalle de la actualización
Un atacante remoto podría enviar peticiones SQL, especialmente elaboradas, que podrían permitirle ver, añadir, modificar o eliminar información en la base de datos del backend. Se ha reservado el identificador CVE-2019-4752 para esta vulnerabilidad.
Recomendación
IBM Emptoris Spend Analysis, actualizar a las versiones:
·        10.1.0.34; http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FOther+software%2FEmptoris+Spend+Analysis&fixids=EMP_Spend_Analysis_10.1.0.34&source=SAR
·        10.1.1.33; http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FOther+software%2FEmptoris+Spend+Analysis&fixids=EMP_Spend_Manager_10.1.1.33&source=SAR
·        10.1.3.29. http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FOther+software%2FEmptoris+Spend+Analysis&fixids=EMP_Spend_Manager_10.1.3.29&source=SAR
IBM Emptoris Strategic Supply Management Platform, actualizar a las versiones:
·        10.1.0.34; http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FOther+software%2FEmptoris+Strategic+Supply+Management&fixids=EMP_SSMP_10.1.0.34&source=SAR
·        10.1.1.33; http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FOther+software%2FEmptoris+Strategic+Supply+Management&fixids=EMP_SSMP_10.1.1.33&source=SAR
·        10.1.3.29. http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FOther+software%2FEmptoris+Strategic+Supply+Management&fixids=EMP_SSMP_10.1.3.29&source=SAR
Más información
·        Security Bulletin: SQL Injection Affects IBM Emptoris Spend Analysis (CVE-2019-4752) https://www.ibm.com/support/pages/node/2948919
·        Security Bulletin: SQL Injection Affects IBM Emptoris Strategic Supply Management Platform (CVE-2019-4752) https://www.ibm.com/support/pages/node/2950269
Fuente: INCIBE

Publicado por en
Etiquetas: