Vulnérabilités dans IBM Spectrum Protect Plus
Date de publication :
De multiples vulnérabilités ont été découvertes dans IBM Spectrum Protect Plus, une solution de protection (sauvegarde) de données, anciennement nommée IBM Tivoli Storage Manager. Celles-ci permettent à un attaquant distant d’exécuter des commandes arbitraires sur le système d’exploitation de la victime.
CVE-2020-4210, CVE-2020-4211, CVE-2020-4212, CVE-2020-4213, CVE-2020-4222 [Score CVSS v3 : 9.8] : De multiples vulnérabilités de type injection de commande ont été découvertes dans IBM Spectrum Protect Plus. Celles-ci peuvent être exploitées lors de la réception de certaines commandes HTTP. Un attaquant exploitant avec succès cette vulnérabilité pourrait exécuter des commandes arbitraires sur le système concerné.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de commandes arbitraires
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation disponible publiquement à ce jour
Composants vulnérables
- IBM Spectrum Protect Plus 10.1.0 jusqu’à 10.1.5
CVE
- CVE-2020-4210
- CVE-2020-4211
- CVE-2020-4212
- CVE-2020-4213
- CVE-2020-4222
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour IBM Spectrum Protect Plus vers la version 10.1.5 patch1
Solution de contournement
- Aucune solution de contournement n’est disponible