Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos Aspera Faspex de IBM

Fecha de publicación 21/03/2023
Identificador

INCIBE-2023-0102

Importancia
5 - Crítica
Recursos Afectados

IBM Aspera Faspex 4.4.2 PL2 y versiones anteriores.

Descripción

IBM ha publicado tres vulnerabilidades: una de ellas de severidad crítica que podría permitir a un atacante ejecutar comandos arbitrarios. Las otras dos vulnerabilidades son de severidad alta y media.

Solución

Se recomienda que los clientes tomen una de las siguientes medidas lo antes posible:

  1. Actualizar a la versión Faspex v5.
  2. Aplicar el último parche de la versión 4 - 4.4.2 PL3 para Windows y Linux.

Esta solución mitiga CVE-2023-27874.

Detalle

La vulnerabilidad de severidad crítica podría permitir un ataque de inyección de entidad externa XML (XXE) al procesar datos XML. Un atacante remoto autenticado podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios. Se ha asignado el identificador CVE-2023-27874 para esta vulnerabilidad.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2023-27871, mientras que para la de severidad media el CVE-2023-27873.

Encuesta valoración

Listado de referencias
Security Bulletin: IBM Aspera Faspex 4.4.2 PL3 has addressed multiple vulnerabilities (CVE-2023-27871, CVE-2023-27873, CVE-2023-27874)
Etiquetas