PT-2021-20937 · Tibco Software · Tibco Ftl+1
Publicado
2021-10-05
·
Atualizado
2022-04-18
·
CVE-2021-35497
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
TIBCO ActiveSpaces - Community Edition, versões 4.3.0 a 4.6.2
TIBCO ActiveSpaces - Developer Edition, versões 4.3.0 a 4.6.2
TIBCO ActiveSpaces - Enterprise Edition, versões 4.3.0 a 4.6.2
TIBCO FTL - Community Edition, versões 6.2.0 a 6.7.0
TIBCO FTL - Developer Edition, versões 6.2.0 a 6.7.0
TIBCO FTL - Enterprise Edition, versões 6.2.0 a 6.7.0
TIBCO eFTL - Community Edition, versões 6.2.0 a 6.7.0
TIBCO eFTL - Developer Edition versões 6.2.0 a 6.7.0
TIBCO eFTL - Enterprise Edition versões 6.2.0 a 6.7.0
Descrição:
O servidor FTL e as imagens do Docker contendo componentes tibftlserver dos produtos da TIBCO Software Inc. apresentam uma vulnerabilidade que, teoricamente, permite que um usuário FTL autenticado, mas sem privilégios administrativos, induza os componentes afetados a criar certificados ilegítimos. Esses certificados gerados de forma maliciosa podem ser usados para possibilitar ataques man-in-the-middle ou para escalar privilégios, de modo que o usuário mal-intencionado obtenha privilégios administrativos.
Recomendações:
Para o TIBCO ActiveSpaces - Community Edition, versões 4.3.0 a 4.6.2, atualize para uma versão que contenha uma correção para este problema.
Para o TIBCO ActiveSpaces - Developer Edition, versões 4.3.0 a 4.6.2, atualize para uma versão que contenha uma correção para este problema.
Para o TIBCO ActiveSpaces - Enterprise Edition, versões 4.3.0 a 4.6.2, atualize para uma versão que contenha uma correção para este problema.
Para o TIBCO FTL - C
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tibco Activespaces
Tibco Ftl