Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la autenticación en ActiveMatrix BusinessWorks de TIBCO

Fecha de publicación 10/04/2019
Importancia
5 - Crítica
Recursos Afectados
  • TIBCO ActiveMatrix BusinessWorks, versiones 6.4.2 y anteriores.
Descripción

El componente HTTP Connector de BusinessWork contiene una vulnerabilidad que permite que un cliente HTTP malintencionado ejecute con éxito las solicitudes HTTP sin autenticarse cuando se utiliza la autenticación básica con XML.

Solución
  • Actualizar a versiones 6.5.0 o superiores.
Detalle
  • El componente HTTP Connector contiene una vulnerabilidad que permite que las solicitudes HTTP de usuarios no autenticados sean procesadas por BusinessWorks, incluso cuando se requiere la autenticación. Esto sólo es posible cuando la política de autenticación básica de HTTP se usa junto con XML. BusinessWorks podría utilizar credenciales de una solicitud HTTP anterior con fines de autorización. Se ha asignado el identificador CVE-2019-8990 para esta vulnerabilidad.

Encuesta valoraciĂ³n