Investigadores de IBM X-Force Ethical Hacking, han detectado cuatro vulnerabilidades de criticidad alta en Security Key Lifecycle Manager.

  • Salto de directorio. Esta vulnerabilidad permitiría a un atacante remoto realizar un salto de directorio en el sistema, permitiéndole ver ficheros arbitrarios del sistema. Para esta vulnerabilidad se ha asignado el CVE-2017-1671.
  • Redirección de URL a través de suplantación. Esta vulnerabilidad permitiría a un atacante remoto realizar ataques de phishing usando un ataque de redirección abierto. Para esta vulnerabilidad se ha asignado el CVE-2017-1668.
  • Inyección de SQL. Esta vulnerabilidad permitiría a un atacante remoto enviar sentencias SQL especialmente diseñadas para ver, añadir, modificar o eliminar información de la base de datos. Para esta vulnerabilidad se ha asignado el CVE-2017-1670.
  • Inyección XXE. Esta vulnerabilidad permitiría a un atacante remoto exponer información confidencial o consumir recursos de memoria mediante ataques de tipo External Entity Injection (XXE). Para esta vulnerabilidad se ha asignado el CVE-2017-1666.