Alertas de seguridad

Fallo en Micro Focus Service Manager impacta la confidencialidad de la información

¿Cómo funciona?

Micro Focus Service Manager puede permitir a un atacante remoto ejecutar arbitrariamente comandos en el sistema, lo que es causado por un defecto no especificado. Al enviar una solicitud especialmente diseñada, un atacante podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios y obtener información confidencial en el sistema. 

Service Manager

Según la publicación oficial de Micro Focus, la vulnerabilidad consiste en la posibilidad de ejecución remota no autorizada de comandos y de divulgación no autorizada de información en las versiones 9.30, 9.31, 9.32, 9.33, 9.34, 9.35, 9.40, 9.41, 9.50, 9.51, 9.52, 9.60 y 9.61 de la aplicación Service Manager.

La calificación responde al hecho de que hay un impacto completo sobre la confidencialidad, integridad y disponibilidad de la información administrada por la herramienta, además se puede acceder remotamente al sistema para atacarlo. Lo único que impide que la calificación llegue a 10 es que se requiere que un usuario esté autenticado para poder explotar la vulnerabilidad.

[LEA TAMBIÉN: Vulnerabilidad de ejecución remota de código en Joomla!]

La debilidad de seguridad en el software que fue asignada a esta vulnerabilidad es la CWE-77: neutralización inadecuada de elementos especiales utilizados en comandos ('Inyección de comandos') y consiste en que el software construye todo o parte de un comando utilizando una entrada externa, pero no neutraliza o neutraliza incorrectamente elementos especiales que podrían modificar el comando deseado cuando se envía a un componente de la arquitectura. De esta manera se podría inyectar código específico para sacar o dañar información.

Acciones recomendadas 

Micro Focus ha liberado un upgrade para resolver la vulnerabilidad mencionada para las versiones impactadas de Service Manager.

Para las versiones 9.30, 9.31, 9.32, 9.33, 9.34, 9.35, 9.40, 9.41, 9.50, 9.51, 9.52, 9.60, 9.61 se requiere hacer la actualización a la versión 9.62 de Service Manager.

Topics: vulnerabilidad Micro Focus Service ataque remoto