Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades en IBM Common Licensing, un popular gestor de licencias para la supervisión de actividades como el acceso a las licencias, el uso simultáneo y el tiempo de inactividad. Según el reporte, la explotación exitosa de estas fallas podría conducir a severos escenarios de ataque.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2021-45046: La implementación incorrecta para abordar las vulnerabilidades de inyección remota de código en Apache Log4j v2.15.0 permitiría a los actores de amenazas con control sobre los datos de entrada del mapa de contexto de subprocesos (MDC) permitiría a los hackers remotos pasar datos maliciosos mediante un patrón de búsqueda JNDI, permitiendo la extracción de datos, ejecución de código arbitrario y ataques de denegación de servicio (DoS).
La vulnerabilidad recibió un puntaje CVSS de 8.1/10.
CVE-2021-45105: Un bucle infinito dentro de la clase StrSubstitutor permitiría a los actores de amenazas pasar entradas especialmente diseñadas a la aplicación afectada, consumiendo todos los recursos del sistema y llevando a una condición DoS.
La falla recibió un puntaje CVSS de 6.7/10.
Según el reporte, ambas vulnerabilidades residen en IBM Common Licensing v9.0 y, si bien aún no se detectan intentos de explotación activa, se recomienda a los administradores de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
