Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en productos de TIBCO

Múltiples vulnerabilidades en productos de TIBCO

Fecha de publicación: 
12/01/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • TIBCO eFTL:
    • Community Edition, versión 6.7.2 y anteriores;
    • Developer Edition, versión 6.7.2 y anteriores;
    • Enterprise Edition, versión 6.7.2 y anteriores.
  • TIBCO FTL:
    • Community Edition, versión 6.7.2 y anteriores;
    • TIBCO FTL - Developer Edition, versión 6.7.2 y anteriores;
    • TIBCO FTL - Enterprise Edition, versión 6.7.2 y anteriores.
Descripción: 

TIBCO ha publicado 4 vulnerabilidades, 1 de severidad crítica, 2 altas y 1 media, por las que un atacante podría obtener pleno acceso a la comunicación en un canal eFTL y a la comunicación en un canal existente en el sistema afectado.

Solución: 

Actualizar los sistemas afectados a la versión correspondiente:

  • TIBCO eFTL:
    • Community Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior;
    • Developer Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior;
    • Enterprise Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior.
  • TIBCO FTL
    • Community Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior
    • Developer Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior
    • Enterprise Edition versión 6.7.2 y anteriores, actualizar a la versión 6.7.3 o posterior
Detalle: 
  • Un código embebido utilizado en el servidor por defecto podría permitir a un atacante la evasión de la autenticación para obtener acceso completo a la comunicación en un canal eFTL existente. Se ha asignado el identificador CVE-2021-43052 para esta vulnerabilidad.
  • Una vulnerabilidad podría permitir a un atacante, no autenticado, la obtención del clúster secreto de otra aplicación conectada al servidor y obtener pleno acceso a la comunicación en un canal eFTL existente en el sistema afectado. Se ha asignado el identificador CVE-2021-43053 para esta vulnerabilidad.
  • Una vulnerabilidad podría permitir a un atacante, con pocos privilegios y acceso a la red, generar tokens de API para acceder a cualquier otro canal con permisos arbitrarios y obtener acceso completo a la comunicación en un canal existente en el sistema afectado. Se ha asignado el identificador CVE-2021-43054 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-43055.

Encuesta valoración