Ataque de inyección XXE en Daeja ViewONE de IBM

Fecha de publicación 29/07/2019

Importancia

4 - Alta

Recursos Afectados

Daeja ViewONE Virtual, desde la versión 5.0 hasta la 5.0.6.

Descripción

IBM ha publicado una vulnerabilidad de criticidad alta en Daeja ViewONE Professional, Standard y Virtual. Un atacante remoto podría revelar información sensible o generar una condición de denegación de servicio.

Solución

IBM ha publicado dos parches para solucionar la vulnerabilidad:

Daeja ViewONE Virtual 5.0.5 iFix 14
Daeja ViewONE Virtual 5.0.6 iFix 2

Detalle

Daeja ViewONE Virtual es vulnerable a un ataque de inyección XML External Entity (XXE) al procesar datos XML. Un atacante remoto podría exponer información sensible o consumir recursos de memoria, pudiendo generar una condición de denegación de servicio. Se ha reservado el identificador CVE-2019-4456 para esta vulnerabilidad.

Listado de referencias

Security Bulletin: ViewONE is vulnerable to XXE attack via HTTP payload (CVE-2019-4456)

Etiquetas

Actualización
IBM
Vulnerabilidad