Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades severas en IBM Cloud Application Business Insights, una popular solución informática empresarial. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar peligrosos escenarios de ataque.

A continuación se muestran breves descripciones de las vulnerabilidades reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2021-45046: Una actualización incompleta en Apache Log4j v2.15.0 para abordar la falla CVE-2021-44228 permitiría a los actores de amenazas remotos con control sobre los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto (como $$ {ctx: loginId}) o un patrón de mapa de contexto de subprocesos (% X,% mdc o% MDC) pasar datos maliciosos mediante un patrón de búsqueda JNDI, conduciendo a un ataque de denegación de servicio (DoS).

Esta es una falla crítica y recibió un puntaje CVSS de 8.1/10, ya que su explotación exitosa pondría en riesgo total el sistema afectado.

CVE-2021-45105: Por otra parte, un bucle infinito dentro de la clase StrSubstitutor permitiría a los hackers maliciosos remotos pasar una entrada especialmente diseñada a la aplicación, consumir todos los recursos del sistema disponibles y provocar una condición DoS.

Esta es una falla de severidad media y recibió un puntaje CVSS de 6.7/10.

Las fallas residen en las siguientes versiones de IBM Cloud Application Business Insights: v1.1.5, v1.1.6 y v1.1.7.

Estas fallas pueden ser explotadas por actores de amenazas remotos no autenticados, además de que los expertos en ciberseguridad han detectado la disponibilidad pública de exploits para cada error. Ante tales circunstancias, los especialistas recomiendan actualizar a las versiones seguras lo antes posible.  

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).