اولین آسیبپذیری با شناسه CVE-2021-38927 و شدت بالا (7.2) در IBM Aspera Console امکان حمله XSS را برای مهاجم فراهم میآورد. در این آسیبپذیری مهاجم میتواند کدهای جاوا اسکریپت را در رابط کاربری وب جاسازی کرده و منجر به افشای اعتبارنامهها و اطلاعات کاربری در یک سشن مورد اعتماد شود.
آسیبپذیری دوم با شناسه CVE-2023-43064 و شدت بالا (7.0) در IBM i product Facsimile Support for i به دلیل فراخوانی یک کتابخانه غیرمجاز، امکان ارتقاء سطح دسترسی را برای مهاجم محلی فراهم میآورد. این آسیبپذیری منجر به اجرای کد دلخواه با سطح دسترسی کاربر از طریق فراخوانی facsimile support میشود.
در سومین آسیبپذیری با شناسه CVE-2023-49880 و شدت بالا (7.5)، مهاجم میتواند عناصر یک تراکنش را تغییر دهد. در بخش Message Entry and Repair (MER) از Financial Transaction Manager برای SWIFT Services، آدرس ارسال و نوع پیامهای FIN غیرقابل تغییر فرض میشود. در این آسیبپذیری تغییر دادههای Assumed-Immutable (MAID) بر IBM Financial Transaction Manager for SWIFT Services تأثیر میگذارد.
محصولات تحت تأثیر
این آسیبپذیری محصولات زیر را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء محصولات IBM به نسخههای وصله شده، اقدام نمایند.
• بهروزرسانی IBM Aspera Console به نسخه 3.4.2 PL6
• اعمال یک PTF در IBM i. در IBM i نسخههای 7.5 آسیبپذیر با 5798-FAX نسخه V5R8M0 وصله شده است.
• نصب Fix Pack 11 برای نسخه آسیبپذیرIBM Financial Transaction Manager for SWIFT Services for Multiplatforms