IBM vient de sortir un bulletin de sécurité pour des vulnérabilités (max 9,8) concernant Planning Analytics Workspace. Une version corrective vient d’être mise à disposition. IBM recommande fortement cette mise à jour.
Résumé
Il existe des vulnérabilités dans plusieurs composants de logiciels Open Source (OSS) utilisés par IBM Planning Analytics Local – Planning Analytics Workspace. Ces problèmes ont été résolus dans IBM Planning Analytics Local – Planning Analytics Workspace 2.1.2 et IBM Planning Analytics Local – Planning Analytics Workspace 2.0.95 en mettant à niveau ou en supprimant les bibliothèques vulnérables.
Ce bulletin de sécurité concerne uniquement l’utilisation directe de composants tiers par IBM Planning Analytics Workspace, et non les dépendances imbriquées au sein du produit.
Liste des vulnérabilités les plus hautes (9,8)
- CVEID : CVE-2023-42282
Gravité : CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9,8 (Haute)
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/282923 pour le score actuel.
Description : Nœud Le package IP .js pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, provoqué par une faille de falsification de requête côté serveur dans la fonction ip.isPublic(). En envoyant une requête spécialement conçue utilisant une représentation hexadécimale d’une adresse IP privée, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système et obtenir des informations sensibles.
- CVEID : CVE-2020-13936
Gravité : CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9,8 (Haute)
Description : Apache Velocity pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, provoqué par une faille de contournement du bac à sable. En modifiant les modèles Velocity, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire avec les mêmes privilèges que le compte exécutant le conteneur Servlet.
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/197993 pour le score actuel.
- ID IBM X-Force : 239927
Gravité : CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9,8 (Haute)
Description : La cryptographie Python Cryptographic Authority est vulnérable à un débordement de tampon, provoqué par une vérification incorrecte des limites par la bibliothèque OpenSSL. En envoyant une requête spécialement conçue, un attaquant distant pourrait faire déborder un tampon et exécuter du code arbitraire sur le système.
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/239927 pour le score actuel.
Liste complète des vulnérabilités
Cote de gravité :
Utilisation du système de notation CVSS V3.0 (https://nvd.nist.gov/vuln-metrics/cvss), IBM évalue cette gravité comme critique.
Logiciels concernés :
Toutes les versions de Planning Analytics Workspace
Résolution
Mise à niveau de Planning Analytics Workspace 2.0.95 ou 2.1.2
Nous restons à votre disposition pour tout complément d’information. Si besoin, nous vous invitons à ouvrir un ticket dans notre extranet client Support DDP.
