Vulnerabilidad de SSRF en IBM Maximo Asset Management

Fecha de publicación: 08/06/2020

Importancia:
Alta

Recursos afectados:

• IBM Maximo Asset Management, versiones 7.6.0 y 7.6.1;
• productos de soluciones industriales afectados si se utiliza una versión principal afectada:
  • Maximo para aviación,
  • Maximo para ciencias de la vida,
  • Maximo para energía nuclear,
  • Maximo para petróleo y gas,
  • Maximo para transporte,
  • Maximo para servicios públicos;
• productos IBM Control Desk afectados si usan una versión principal afectada:
  • SmartCloud Control Desk,
  • IBM Control Desk,
  • Tivoli Integration Composer.

Descripción:

Los investigadores Andrey Medov y Arseniy Sharoglazov, de Positive Technologies, reportaron a IBM una vulnerabilidad, de severidad alta, de tipo SSRF (Server Side Request Forgery) que afecta al producto Maximo Asset Management del fabricante.

Solución:

Desde la versión 7.6.0.4 de IBM Maximo Asset Management, se agregó la función de impresión sin applet y una propiedad donde la impresión de applet está desactivada de forma predeterminada. Para solucionar esta vulnerabilidad, evitar el uso de la impresión de applet.

Detalle:

Esta vulnerabilidad podría permitir que un atacante autenticado envíe solicitudes no autorizadas desde el sistema, lo que podría provocar la enumeración de la red (conseguir información de usuarios, grupos o dispositivos y demás servicios relacionados de una red de ordenadores) o facilitar otros ataques. Se ha reservado el identificador CVE-2020-4529 para esta vulnerabilidad.

Etiquetas:
IBM, Vulnerabilidad