CRITICAL🇬🇧 English

CVE-2026-7876

Authentication bypass w IBM Aspera HSTS for CP4I umożliwia nieautoryzowany dostęp do plików

CVSS 9.1pub. 2026-05-27upd. 2026-06-11

IBM Aspera High-Speed Transfer Server for Cloud Pak for Integration (wersje 1.5.1–1.5.19) zawiera podatność typu authentication bypass, która umożliwia klientowi transferu dostęp do plików w lokalnym magazynie serwera bez odpowiednich uprawnień. Podatność jest krytyczna ze względu na możliwość nieuprawnionego odczytu i modyfikacji danych przy braku konieczności uwierzytelnienia.

Pokaż oryginał (EN)

IBM Aspera HSTS for CP4I 1.5.1 through 1.5.19 is affected by an authentication bypass vulnerability. A transfer client may be able to take advantage of this vulnerability to access files in the server's local storage that they should not have access to, when specific restriction settings are not in place.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelniania (CWE-287), co pozwala klientowi transferu na ominięcie kontroli dostępu. Błąd ujawnia się w sytuacji, gdy na serwerze nie skonfigurowano odpowiednich ustawień restrykcji dostępu. W takim przypadku nieuprawniony klient może uzyskać dostęp do plików w lokalnym magazynie serwera, do których normalnie nie powinien mieć dostępu.

Skutki

Atakujący może uzyskać nieautoryzowany odczyt oraz zapis plików przechowywanych w lokalnym magazynie serwera, co może prowadzić do ujawnienia poufnych danych lub ich nieautoryzowanej modyfikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.ibm.com/support/pages/node/7274127). Dodatkowo, do czasu wdrożenia aktualizacji, zaleca się skonfigurowanie odpowiednich ustawień restrykcji dostępu na serwerze, co zgodnie z opisem ogranicza możliwość wykorzystania podatności.

Kogo dotyczy

IBM Aspera High-Speed Transfer Server for Cloud Pak for Integration w wersjach od 1.5.1 do 1.5.19 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • IBM Aspera High Speed Transfer Server For Cloud Pak For Integration

    APP
    Ibm
    1.5.1 – 1.5.20 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2020-4432HIGH7.5ten sam produkt

Certain IBM Aspera applications are vulnerable to command injection after valid authentication, which could al...

CVE-2020-4433HIGH7.5ten sam produkt

Certain IBM Aspera applications are vulnerable to a stack-based buffer overflow, caused by improper bounds che...

CVE-2020-4434HIGH7.5ten sam produkt

Certain IBM Aspera applications are vulnerable to buffer overflow based on the product configuration and valid...

CVE-2020-4435HIGH7.5ten sam produkt

Certain IBM Aspera applications are vulnerable to arbitrary memory corruption based on the product configurati...

CVE-2020-4436HIGH7.5ten sam produkt

Certain IBM Aspera applications are vulnerable to buffer overflow after valid authentication, which could allo...