| Produkt | IBM Sterling Connect:Direct Web Services: 6.0.0, 6.0.0.1, 6.0.0.2, 6.0.0.3, 6.0.0.4, 6.0.0.5, 6.0.0.6, 6.0.0.7, 6.0.0.8, 6.1.0, 6.1.0.1, 6.1.0.2, 6.1.0.3, 6.1.0.4, 6.1.0.5, 6.1.0.6, 6.1.0.7, 6.1.0.8, 6.1.0.9, 6.1.0.10, 6.1.0.11, 6.1.0.12, 6.2.0, 6.2.0.1, 6.2.0.2, 6.2.0.3, 6.2.0.4, 6.2.0.5, 6.2.0.6, 6.2.0.7 |
| CVE | CVE-2022-1552 |
| Krytyczność | 5.4 /10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
| Opis | Luka wynika z niepoprawnie nałożonych ograniczeń zabezpieczeń w funkcjach Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER i pg_amcheck. Zdalnie uwierzytelniony użytkownik z uprawnieniami do tworzenia obiektów innych niż tymczasowe może wykonywać dowolne funkcje SQL z tożsamością superużytkownika i eskalować uprawnienia w aplikacji. |
| Aktualizacja | TAK |
| Link | http://www.ibm.com/blogs/psirt/security-bulletin-ibm-connectdirect-web-services-vulnerable-to-remote-security-bypass-due-to-postgresql-cve-2022-1552/ http://www.ibm.com/support/pages/node/6615005 |
| Produkt | IBM Robotic Process Automation: przed 21.0.3 |
| CVE | CVE-2022-27782 |
| Krytyczność | 5.3 /10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Opis | Luka wynika ze sposobu, w jaki libcurl obsługuje poprzednio używane połączenia w puli połączeń dla kolejnych transferów. Kilka ustawień TLS i SSH zostało pominiętych podczas sprawdzania zgodności konfiguracji, co skutkuje błędnymi dopasowaniami dla różnych zasobów. W rezultacie libcurl może wysyłać ciąg uwierzytelniający z jednego zasobu do drugiego, ujawniając dane uwierzytelniające stronie trzeciej. |
| Aktualizacja | TAK |
| CVE | CVE-2022-27774 |
| Krytyczność | 6.5 /10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
| Opis | Luka wynika z prób curl podążania za przekierowaniami podczas procesu uwierzytelniania i nie traktuje różnych numerów portów lub protokołów jako oddzielnych celów uwierzytelniania. jeżeli aplikacja internetowa wykona przekierowanie na inny numer portu protokołu, cURL zezwoli na takie przekierowanie i przekaże dane uwierzytelniające. W ten sposób może również ujawnić dane uwierzytelniające TLS SRP. |
| Aktualizacja | TAK |
| CVE | CVE-2022-22576 |
| Krytyczność | 7.4 /10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
| Opis | Zdalny atakujący może wykorzystać tę lukę w aplikacjach przeznaczonych do użytku w środowiskach wielu użytkowników, aby ominąć uwierzytelnianie i uzyskać nieautoryzowany dostęp do kont ofiary. |
| Aktualizacja | TAK |
| CVE | CVE-2022-23267 CVE-2022-29117 CVE-2022-29145 |
| Krytyczność | 7.5 /10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | Osoba atakująca zdalnie może przekazać do aplikacji specjalnie spreparowane dane wejściowe i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Aktualizacja | TAK |
| CVE | CVE-2021-4189 |
| Krytyczność | 6.1 /10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Opis | Zdalny atakujący może skonfigurować fałszywy serwer FTP, nakłonić klienta FTP w Pythonie do połączenia się z podanym adresem IP i portem, co może prowadzić do skanowania portów klienta FTP, co w innym przypadku nie byłoby możliwe. |
| Aktualizacja | TAK |
| CVE | CVE-2021-3634 |
| Krytyczność | 8.1 /10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Zdalny atakujący spowodować uszkodzenie pamięci podczas ponownej wymiany klucza i awarię aplikacji lub potencjalnie wykonać dowolny kod. |
| Aktualizacja | TAK |
| Link | http://www.ibm.com/blogs/psirt/security-bulletin-multiple-vulnerabilities-may-affect-ibm-robotic-process-automation-for-cloud-pak/ http://www.ibm.com/support/pages/node/6615217 |
Nowe aktualizacje od IBM
Powiązane
Jak wybrać odpowiedni łańcuch do roweru?
6 dni temu
