Vulnérabilités dans IBM Spectrum Protect

Date de publication :

Des vulnérabilités découvertes dans Dojo affectent l’image VMWare d’IBM Spectrum Protect. Elles peuvent permettre à un attaquant de provoquer une injection de code arbitraire sur le système.

CVE-2020-5259 [Score CVSS v3 : 8.6] : Une vulnérabilité de type “pollution de prototype” a été découverte dans la fonction jqMix de Dojo. Ce type de vulnérabilité peut permettre à un attaquant d’injecter du code JavaScript malveillant. 

CVE-2020-5258 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “pollution de prototype” a été découverte dans la fonction deepCopy de Dojo. Ce type de vulnérabilité peut permettre à un attaquant d’injecter du code JavaScript malveillant.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Injection de code arbitraire

Criticité

    Score CVSS v3 : 8.6 et 7.5

Existence d’un code d’exploitation

    Des codes d’exploitation sont disponibles publiquement

Composants vulnérables

    IBM Spectrum Protect Snapshot for VMware versions 4.1.0.0 - 4.1.6.9

CVE

    CVE-2020-5259

    CVE-2020-5258

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour IBM Spectrum Protect Snapshot for VMware vers la version 4.1.6.10 ou supérieure

Solution de contournement

  • Aucune solution de contournement

Liens