Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06030

Опубликовано: 10 июл. 2023
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость службы управления корпоративным каталогом Watson Knowledge Catalog облачной платформы анализа, организации и управления данными IBM Cloud Pak for Data (CP4D) связана с отсутствием нейтрализации элементов в CSV-файле. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путём отправки специально сформированного CSV-файла

Вендор

IBM Corp.

Наименование ПО

IBM Cloud Pak for Data (CP4D)

Версия ПО

4.0 (IBM Cloud Pak for Data (CP4D))

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование антивирусного программного обеспечения для проверки загружаемых файлов, полученных из недоверенных источников.
Использование рекомендаций производителя:
https://exchange.xforce.ibmcloud.com/vulnerabilities/251782
https://www.ibm.com/support/pages/node/7009747

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 30%
0.00111
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-28958

CVSS3: 7
nvd
больше 2 лет назад

IBM Watson Knowledge Catalog on Cloud Pak for Data 4.0 is potentially vulnerable to CSV Injection. A remote attacker could execute arbitrary commands on the system, caused by improper validation of csv file contents. IBM X-Force ID: 251782.

github логотип

GHSA-75qg-qmgw-fj6v

CVSS3: 7
github
больше 2 лет назад

IBM Watson Knowledge Catalog on Cloud Pak for Data 4.0 is potentially vulnerable to CSV Injection. A remote attacker could execute arbitrary commands on the system, caused by improper validation of csv file contents. IBM X-Force ID: 251782.

EPSS

Процентиль: 30%
0.00111
Низкий

8.8 High

CVSS3

10 Critical

CVSS2