Vulnerabilidades en el software BMC Control-M
ID CVE | CVE-2024-1604 |
Fecha de publicación | 18 de marzo de 2024 |
Proveedor | BMC |
Producto | Control-M |
Versiones vulnerables | desde el 9.0.20 antes del 9.0.20.238, desde el 9.0.21 antes del 9.0.21.201 |
Tipo de vulnerabilidad (CWE) | Autorización incorrecta (CWE-863) |
Fuente del informe | Informe al CERT Polonia |
ID CVE | CVE-2024-1605 |
Fecha de publicación | 18 de marzo de 2024 |
Proveedor | BMC |
Producto | Control-M |
Versiones vulnerables | desde el 9.0.20 antes del 9.0.20.238, desde el 9.0.21 antes del 9.0.21.201 |
Tipo de vulnerabilidad (CWE) | Control de acceso inadecuado (CWE-284) |
Fuente del informe | Informe al CERT Polonia |
ID CVE | CVE-2024-1606 |
Fecha de publicación | 18 de marzo de 2024 |
Proveedor | BMC |
Producto | Control-M |
Versiones vulnerables | desde el 9.0.20 antes del 9.0.20.238, desde el 9.0.21 antes del 9.0.21.200 |
Tipo de vulnerabilidad (CWE) | Neutralización inadecuada de etiquetas HTML relacionadas con secuencias de comandos en una página web (CWE-80) |
Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska recibió un informe sobre vulnerabilidades en el software BMC Control-M y participó en la coordinación de su divulgación.
la vulnerabilidad CVE-2024-1604 es una autorización inadecuada en el módulo de gestión y creación de informes. Permite a los usuarios que han iniciado sesión realizar cambios no autorizados en cualquier informe disponible dentro de la aplicación, incluso sin los permisos adecuados. El atacante debe conocer el identificador único del informe que quiere manipular.
la vulnerabilidad CVE-2024-1605 es la carga lateral de DLL. La aplicación carga cuando el usuario inicia sesión en todas las bibliotecas de vínculos dinámicos (DLL) de un directorio que otorga permisos de escritura y lectura a todos los usuarios. Aprovecharlo conduce a la carga de bibliotecas potencialmente maliciosas, que se ejecutarán con los privilegios de la aplicación.
la vulnerabilidad CVE-2024-1606 permite la manipulación de páginas web generadas mediante la inyección de código HTML. Esto podría conducir a un ataque de phishing exitoso, por ejemplo, engañando a los usuarios para que utilicen un hipervínculo que apunte a un sitio web controlado por un atacante.
El proveedor eliminó las vulnerabilidades en las versiones mencionadas como «anteriores» en la tabla anterior.
Créditos
Agradecemos a Maksymilian Kubiak y Dawid Małecki del equipo de AFINE por el responsable informe de vulnerabilidad.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.