PT-2020-20640 · Tibco · Spotfire Library+4
Publicado
2020-03-11
·
Atualizado
2020-03-13
·
CVE-2020-9408
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
TIBCO Spotfire Analytics Platform para AWS Marketplace, versões 10.8.0 e anteriores
TIBCO Spotfire Server, versões 7.11.9 e anteriores
TIBCO Spotfire Server, versões 7.12.0 a 10.8.0
Descrição
O componente da biblioteca Spotfire contém uma vulnerabilidade que, teoricamente, permite que um invasor com permissões de gravação na Biblioteca Spotfire, mas sem permissão do grupo “Script Author”, modifique atributos de arquivos e objetos salvos na biblioteca de forma que o sistema os trate como confiáveis. Isso poderia permitir que um invasor fizesse com que o Spotfire Web Player, os clientes Analyst e o Serviço TERR executassem código arbitrário com os privilégios da conta do sistema que iniciou esses processos.
Recomendações
Para as versões 10.8.0 e anteriores da TIBCO Spotfire Analytics Platform para AWS Marketplace, atualize para uma versão superior à 10.8.0.
Para as versões 7.11.9 e anteriores do TIBCO Spotfire Server, atualize para uma versão superior à 7.11.9.
Para as versões 7.12.0 a 10.8.0 do TIBCO Spotfire Server, atualize para uma versão superior à 10.8.0.
Como solução alternativa temporária, considere restringir as permissões de gravação na Biblioteca Spotfire para minimizar o risco de exploração.
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Spotfire Library
Spotfire Web Player
Terr Service
Tibco Spotfire Analytics Platform For Aws Marketplace
Tibco Spotfire Server