Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de Cross-Site Scripting almacenado en productos TIBCO

Vulnerabilidad de Cross-Site Scripting almacenado en productos TIBCO

Fecha de publicación: 
16/11/2022
Identificador: 
INCIBE-2022-1016
Importancia: 
5 - Crítica
Recursos afectados: 

El componente visualizations contenido en los siguientes productos se ve afectado:

  • TIBCO Spotfire Analyst y TIBCO Spotfire Desktop:
    • versiones 11.4.4 y anteriores;
    • versiones 1.5.0, 11.6.0, 11.7.0, 11.8.0, 12.0.0 y 12.0.1;
    • versión 12.1.0.
  • TIBCO Spotfire Analytics Platform para AWS Marketplace versiones 12.1.0 y anteriores.
  • TIBCO Spotfire Server:
    • versiones 11.4.8 y anteriores;
    • versiones 11.5.0, 11.6.0, 11.6.1, 11.6.2, 11.6.3, 11.7.0, 11.8.0, 11.8.1, 12.0.0 y 12.0.1;
    • versión 12.1.0.
Descripción: 

Una vulnerabilidad de tipo Cross-Site Scripting almacenado (persistent XSS), podría permitir a un atacante ejecutar comandos con los privilegios del usuario afectado.

Solución: 
  • TIBCO Spotfire Analyst y TIBCO Spotfire Desktop:
    • versiones 11.4.4 y anteriores, actualizar a la versión 11.4.5 o posterior;
    • versiones 1.5.0, 11.6.0, 11.7.0, 11.8.0, 12.0.0 y 12.0.1, actualizar a la versión 12.0.2 o posterior;
    • versión 12.1.0, actualizar a la versión 12.1.1 o posterior.
  • TIBCO Spotfire Analytics Platform para AWS Marketplace: versiones 12.1.0 y anteriores, actualizar a la versión 12.1.1 o posterior.
  • TIBCO Spotfire Server:
    • versiones 11.4.8 y anteriores, actualizar a la versión 11.4.9 o posterior;
    • versiones 11.5.0, 11.6.0, 11.6.1, 11.6.2, 11.6.3, 11.7.0, 11.8.0, 11.8.1, 12.0.0 y 12.0.1, actualizar a la versión 12.0.2 o posterior;
    • versión 12.1.0 actualizar a la versión 12.1.1 o posterior.
Detalle: 

El componente visualizations contiene una vulnerabilidad fácilmente explotable que podría permitir a un atacante con pocos privilegios y con acceso a la red, realizar un ataque Stored Cross Site Scripting (persistent XSS) en el sistema afectado. Requiere la interacción de un usuario que no sea el atacante.

Encuesta valoración