PT-2022-10801 · Ibm · Ibm Datapower Gateway
Marek Jílek
·
Publicado
2022-03-10
·
Atualizado
2022-03-18
·
CVE-2021-38910
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
IBM DataPower Gateway, versões 10.0.1 a 2108.4.1
IBM DataPower Gateway V10CD
Descrição
O problema é causado pela validação inadequada dos dados de entrada, permitindo que um invasor remoto contorne as restrições de segurança. Ao enviar uma mensagem JSON especialmente criada, um invasor poderia explorar essa vulnerabilidade para modificar a estrutura e os campos.
Recomendações
Para as versões 10.0.1 a 2108.4.1 do IBM DataPower Gateway, atualize para uma versão que valide adequadamente as entradas, a fim de impedir a contornamento das restrições de segurança.
Para o IBM DataPower Gateway V10CD, certifique-se de que a validação adequada das entradas esteja em vigor para mitigar o risco de exploração.
Como solução alternativa temporária, considere restringir a capacidade de enviar mensagens JSON especialmente criadas para o gateway até que um patch esteja disponível.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Datapower Gateway