IBM Aspera High-Speed Transfer Server for Cloud Pak for Integration (wersje 1.5.1–1.5.19) zawiera podatność typu authentication bypass, która umożliwia klientowi transferu dostęp do plików w lokalnym magazynie serwera bez odpowiednich uprawnień. Podatność jest krytyczna ze względu na możliwość nieuprawnionego odczytu i modyfikacji danych przy braku konieczności uwierzytelnienia.
▸ Pokaż oryginał (EN)
IBM Aspera HSTS for CP4I 1.5.1 through 1.5.19 is affected by an authentication bypass vulnerability. A transfer client may be able to take advantage of this vulnerability to access files in the server's local storage that they should not have access to, when specific restriction settings are not in place.
Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelniania (CWE-287), co pozwala klientowi transferu na ominięcie kontroli dostępu. Błąd ujawnia się w sytuacji, gdy na serwerze nie skonfigurowano odpowiednich ustawień restrykcji dostępu. W takim przypadku nieuprawniony klient może uzyskać dostęp do plików w lokalnym magazynie serwera, do których normalnie nie powinien mieć dostępu.
Atakujący może uzyskać nieautoryzowany odczyt oraz zapis plików przechowywanych w lokalnym magazynie serwera, co może prowadzić do ujawnienia poufnych danych lub ich nieautoryzowanej modyfikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.ibm.com/support/pages/node/7274127). Dodatkowo, do czasu wdrożenia aktualizacji, zaleca się skonfigurowanie odpowiednich ustawień restrykcji dostępu na serwerze, co zgodnie z opisem ogranicza możliwość wykorzystania podatności.
IBM Aspera High-Speed Transfer Server for Cloud Pak for Integration w wersjach od 1.5.1 do 1.5.19 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NIBM Aspera High Speed Transfer Server For Cloud Pak For Integration
APPIbm1.5.1 – 1.5.20 (bez)
Powiązane podatności
Certain IBM Aspera applications are vulnerable to command injection after valid authentication, which could al...
Certain IBM Aspera applications are vulnerable to a stack-based buffer overflow, caused by improper bounds che...
Certain IBM Aspera applications are vulnerable to buffer overflow based on the product configuration and valid...
Certain IBM Aspera applications are vulnerable to arbitrary memory corruption based on the product configurati...
Certain IBM Aspera applications are vulnerable to buffer overflow after valid authentication, which could allo...