Vulnérabilités dans IBM Spectrum Control
Date de publication :
Deux vulnérabilités dans le module Node.JS handlebars ont été déterminées par IBM comme affectant leur produit IBM Spectrum Control, une solution de surveillance et automatisation de volumes de stockage. Un attaquant distant exploitant ces vulnérabilités peut potentiellement provoquer un plantage du programme ainsi qu’exécuter du code arbitraire.
CCN-171569 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à une insuffisante validation des entrées utilisateur a été découverte dans handlebars et affecte IBM Spectrum Control. Un attaquant distant peut exploiter cette faille en faisant interpréter un modèle HTML spécifique au moteur handlebars afin d’exécuter du code Javascript arbitraire sur le système vulnérable.
CCN-170971 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans handlebars et affecte IBM Spectrum Control. Un attaquant distant peut exploiter cette faille en créant une boucle infinie lors de l’interprétation d’un modèle HTML spécifique, conduisant à un épuisement des ressources du système vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3 : 9.8 (maximal)
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement pour l’instant, cependant un code de démonstration pour CCN-171569 est disponible sur un bulletin de sécurité NPM
Composants vulnérables
- IBM Spectrum Control version 5.3.0 jusqu’à 5.3.5 incluses
Identifiants de référence
- CCN-171569
- CCN-170971
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour IBM Spectrum Control vers la version 5.3.6
Solution de contournement
- Aucune solution de contournement n’est disponible