4 zeroday pubblicati dopo che IBM non ha acconsentito alla produzione della fix.

Il ricercatore di sicurezza Pedro #Ribeiro, direttore della ricerca presso Agile Information Security, ha pubblicato quattro vulnerabilità #zeroday su #GitHub dopo che la #IBM ha #rifiutato la correzione.


Le vulnerabilità rilevate sono sul software IBM Data Risk Manager (#IDRM), che aiuta le aziende a scoprire, analizzare e visualizzare i #rischi aziendali relativi ai dati, di seguito le vulnerabilità rilevate:


1) Authentication Bypass

2) Command Injection

3) Insecure Default Password

4) Arbitrary File Download


Le prime tre #vulnerabilità concatenate tra loro, consentono di ottenere l'esecuzione di codice #remoto (RCE) con privilegi massimi di esecuzione.


Sembra strano che un colosso come IBM non abbia dato seguito a queste vulnerabilità, riportando "abbiamo valutato il report che risulta fuori dal nostro programma di #divulgazione poiché questo prodotto è solo per il supporto", anche se dopo la full-disclosure, 2 bug sono stati corretti.


Perché occorre arrivare a tanto?


#redhotcyber #cybersecurity #ricerca #cvd #disclosure


https://gbhackers.com/ibm-zero-days/