Vulnerabilidad en TIBCO Spotfire Server
Fecha de publicación 12/03/2020
Importancia
5 - Crítica
Recursos Afectados
- TIBCO Spotfire Analytics Platform para AWS Marketplace, versiones 10.8.0 y anteriores;
- TIBCO Spotfire Server, versiones 7.11.9 y anteriores;
- TIBCO Spotfire Server, versiones 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5 y 10.3.6;
- TIBCO Spotfire Server, versiones 10.4.0, 10.5.0, 10.6.0, 10.6.1, 10.7.0 y 10.8.0;
- Spotfire library.
Descripción
Se ha publicado un problema en TIBCO Spotfire Server Script que podría permitir a un atacante la ejecución remota de código.
Solución
- TIBCO Spotfire Analytics Platform para AWS Marketplace 10.8.1 o superior,
- TIBCO Spotfire Server:
- 7.11.10 o superior,
- 10.3.7 o superior,
- 10.8.1 o superior.
Detalle
La vulnerabilidad podría permitir a un atacante con permisos de escritura en la biblioteca de Spotfire, pero no con permiso del grupo "Script Author", modificar los atributos de los archivos y objetos guardados en la biblioteca de manera que el sistema los trate como confiables, haciendo que Spotfire Web Player, Analyst clients y TERR Service, ejecuten código arbitrario con los mismos privilegios que la cuenta del sistema que inició esos procesos. Se ha asignado el identificador CVE-2020-9408 para esta vulnerabilidad.
Listado de referencias
Etiquetas