PT-2022-1587 · Ibm · Ibm Planning Analytics Workspace+1
Publicado
2022-01-12
·
Atualizado
2022-02-11
·
CVE-2021-38892
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
IBM Planning Analytics versão 2.0
IBM Planning Analytics Workspace versão 2.0
Descrição
O problema está relacionado à restrição incorreta de um caminho de diretório com acesso limitado. A exploração pode permitir que um invasor remoto execute código arbitrário. Um agente de ameaça remoto pode acessar um endpoint válido sem autenticação prévia, permitindo-lhe ler e gravar arquivos no sistema, o que pode levar à traversal de caminho e à execução remota de código, dependendo das permissões do sistema de arquivos.
Recomendações
Para o IBM Planning Analytics versão 2.0, considere restringir o acesso à API DQM para impedir sessões não autenticadas.
Para o IBM Planning Analytics Workspace versão 2.0, restrinja o acesso à API DQM para minimizar o risco de exploração.
Como solução alternativa temporária, considere desativar a
API DQM até que um patch esteja disponível.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Planning Analytics
Ibm Planning Analytics Workspace