IBM a corrigé plusieurs vulnérabilités dans divers produits. L'exploitation de ces vulnérabilités permettrait la divulgation d'informations sensibles ou encore l'injection de commandes SQL. Les vulnérabilités sont référencées comme suit :
- CVE-2018-1800 [CVSS 5.1] : L'édition standard d'IBM Sterling B2B Integrator pourrait permettre à un utilisateur local d'obtenir des informations hautement sensibles pendant une courte durée lors de l'installation.
- CVE-2018-1674 [CVSS 6.3] : IBM Business Process Manager est vulnérable à une injection SQL due à un manque de validation des entrées. Une injection réussie pourrait permettre à l'attaquant de lire, ajouter, modifier ou supprimer les informations contenues dans la base de données.
- CVE non spécifié [CVSS 6.3] : IBM Data Science Experience Local implémente des algorithmes non sécurisés pour chiffrer les informations d'identification de source de données externes. Cette vulnérabilité pourrait permettre à un attaquant de lire ces informations.
Impacts
- Injection de commandes SQL
- Vol d'informations sensibles
- Atteinte à la confidentialité
- Atteinte à l'intégrité
- Atteinte à la disponibilité
Criticité
- CVSS v3 : 6.3 - CVSS de la vulnérabilité la plus critique
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- CVE-2018-1800
- IBM Sterling B2B Integrator 5.2.6.0 - 5.2.6.3
- CVE-2018-1674
- IBM Business Process Manager version 8.5.0.0 à V8.5.0.2
- IBM Business Process Manager version 8.5.5.0
- IBM Business Process Manager version 8.5.6.0 à V8.5.6.0 CF2
- Correctif cumulatif 2017.06 pour IBM Business Process Manager V8.5.7.0 à V8.5.7.0
- Correctif cumulatif IBM Business Process Manager V8.6.0.0 à V8.6.0.0 2018.03
- IBM Business Automation Workflow V18.0.0.0 à V18.0.0.1 (version 2018.07)
- CVE Non spécifié
- IBM Data Science Experience Local versions 1.1.1 - 1.1.0 - 1.1.2 - 1.1.3 - 1.2.0
CVE
- CVE-2018-1800
- CVE-2018-1674
Correctifs
- Un correctif de sécurité a été publié par IBM corrigeant les vulnérabilités.
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.