Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de SSRF en IBM Maximo Asset Management

Vulnerabilidad de SSRF en IBM Maximo Asset Management

Fecha de publicación: 
08/06/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • IBM Maximo Asset Management, versiones 7.6.0 y 7.6.1;
  • productos de soluciones industriales afectados si se utiliza una versión principal afectada:
    • Maximo para aviación,
    • Maximo para ciencias de la vida,
    • Maximo para energía nuclear,
    • Maximo para petróleo y gas,
    • Maximo para transporte,
    • Maximo para servicios públicos;
  • productos IBM Control Desk afectados si usan una versión principal afectada:
    • SmartCloud Control Desk,
    • IBM Control Desk,
    • Tivoli Integration Composer.
Descripción: 

Los investigadores Andrey Medov y Arseniy Sharoglazov, de Positive Technologies, reportaron a IBM una vulnerabilidad, de severidad alta, de tipo SSRF (Server Side Request Forgery) que afecta al producto Maximo Asset Management del fabricante.

Solución: 

Desde la versión 7.6.0.4 de IBM Maximo Asset Management, se agregó la función de impresión sin applet y una propiedad donde la impresión de applet está desactivada de forma predeterminada. Para solucionar esta vulnerabilidad, evitar el uso de la impresión de applet.

Detalle: 

Esta vulnerabilidad podría permitir que un atacante autenticado envíe solicitudes no autorizadas desde el sistema, lo que podría provocar la enumeración de la red (conseguir información de usuarios, grupos o dispositivos y demás servicios relacionados de una red de ordenadores) o facilitar otros ataques. Se ha reservado el identificador CVE-2020-4529 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: