Inicio / Content / Boletín de INCIBE-CERT del 04-02-2022

Boletín de INCIBE-CERT del 04-02-2022

Múltiples vulnerabilidades en IBM Planning Analytics

Fecha de publicación: 
04/02/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • IBM Planning Analytics 2.0;
  • IBM Planning Analytics Workspace 2.0.
Descripción: 

IBM ha reportado 11 vulnerabilidades: 2 críticas, 2 altas, 3 medias y 4 bajas, por las que un atacante podría causar un impacto en la confidencialidad, en la integridad y en la disponibilidad, una denegación de servicio, obtener información sensible, desbordar un búfer, ejecutar código arbitrario, acceder a directorios restringidos, realizar una ejecución remota de código o tomar el control del sistema.

Solución: 

Aplicar las actualizaciones de seguridad más recientes:

Detalle: 
  • La API DQM de IBM Planning Analytics permite el envío de todas las solicitudes de control en sesiones no autenticadas. Esto podría permitir a un atacante remoto que puede acceder (sin autenticación previa) a un endpoint válido de PA para leer y escribir archivos en el sistema de IBM Planning Analytics. Se ha asignado el identificador CVE-2021-38892 para esta vulnerabilidad.
  • Eclipse OpenJ9 es vulnerable a un desbordamiento del búfer basado en la pila cuando la máquina virtual o los nativos de JNI están convirtiendo caracteres UTF-8 a la codificación de la plataforma. Se ha asignado el identificador CVE-2020-2722 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2021-36090 y CVE-2021-2388.

Para las vulnerabilidades de severidad media y baja se han asignado los identificadores: CVE-2021-2161, CVE-2021-35517, CVE-2021-2369, CVE-2020-14797, CVE-2020-14779, CVE-2020-14782 y CVE-2020-14796.

Encuesta valoración