CRITICAL🇬🇧 English

CVE-2024-22317

IBM App Connect Enterprise — brak limitu prób uwierzytelnienia (DoS/ujawnienie danych)

CVSS 9.1v3.1pub. 2024-01-18upd. 2024-11-21

IBM App Connect Enterprise w wersjach 11.0.0.1–11.0.0.24 oraz 12.0.1.0–12.0.11.0 nie ogranicza odpowiednio liczby prób uwierzytelnienia, co umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji lub wywołanie odmowy usługi (DoS). Podatność otrzymała ocenę CVSS 9.1 (CRITICAL), co czyni ją poważnym zagrożeniem dla dostępności i poufności systemu.

Pokaż oryginał (EN)

IBM App Connect Enterprise 11.0.0.1 through 11.0.0.24 and 12.0.1.0 through 12.0.11.0 could allow a remote attacker to obtain sensitive information or cause a denial of service due to improper restriction of excessive authentication attempts. IBM X-Force ID: 279143.

🤖 Analiza AI
Jak działa

Mechanizm podatności (CWE-307) polega na braku właściwego ograniczenia nadmiernej liczby prób logowania. Atakujący nieuwierzytelniony zdalnie może wysyłać nieograniczoną liczbę żądań uwierzytelnienia do podatnego systemu, co prowadzi do przeciążenia zasobów (DoS) lub — poprzez techniki brute-force — do ujawnienia wrażliwych informacji. Brak mechanizmu blokowania konta lub ograniczania żądań umożliwia przeprowadzenie ataku bez żadnych uprawnień i bez interakcji ze strony użytkownika.

Skutki

Atakujący może spowodować niedostępność usługi (DoS) lub uzyskać dostęp do wrażliwych informacji przetwarzanych przez IBM App Connect Enterprise, narażając integralność i poufność danych organizacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.ibm.com/support/pages/node/7108661). Zaleca się aktualizację do wersji wykraczających poza podatne zakresy wskazane przez IBM.

Kogo dotyczy

IBM App Connect Enterprise w wersjach 11.0.0.1 do 11.0.0.24 oraz 12.0.1.0 do 12.0.11.0

Uwagi

Podatność zgłoszona przez IBM X-Force pod identyfikatorem ID 279143.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
  • IBM App Connect Enterprise

    APP
    Ibm
    11.0.0.1 – 11.0.0.2412.0.1.0 – 12.0.11.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2026-3602MEDIUM4.7ten sam produkt

IBM App Connect Enterprise 13.0.1.0 through 13.0.7.2, and 12.0.1.0 through 12.0.12.26 and IBM Integration Bus ...

CVE-2026-5515MEDIUM5.5ten sam produkt

IBM App Connect Enterprise 13.0.1.0 through 13.0.7.0 stores potentially sensitive information in log files tha...

CVE-2025-36361MEDIUM6.3ten sam produkt

IBM App Connect Enterprise 13.0.1.0 through 13.0.4.2, and 12.0.1.0 through 12.0.12.17 could allow an authentic...

CVE-2025-0799MEDIUM6.5ten sam produkt

IBM App Connect enterprise 12.0.1.0 through 12.0.12.10 and 13.0.1.0 through 13.0.2.1 could allow an authentica...

CVE-2024-49338MEDIUM4.4ten sam produkt

IBM App Connect Enterprise 12.0.1.0 through 12.0.7.0and 13.0.1.0 under certain configurations could allow a pr...