Múltiples vulnerabilidades en IBM Db2 

Se han reportado múltiples vulnerabilidades en IBM Db2, que permitirían a un atacante la ejecución remota de código (RCE) y denegación de servicio (DoS). 

Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Crítica”, 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Las principales se detallan a continuación: 

• CVE-2022-25315, de severidad “Crítica” y puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en la función storeRawNames. Un atacante remoto podría enviar código especialmente diseñado a la aplicación y realizar ejecución remota de código (RCE) en el sistema afectado. 

• CVE-2022-25235, de severidad “Crítica” y puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falta de validación en la codificación de un carácter UTF-8. Un atacante remoto podría enviar código especialmente diseñado a la aplicación y realizar ejecución remota de código (RCE) en el sistema afectado. 

• CVE-2022-25314, de severidad “Alta” y puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en la función copyString. Un atacante remoto podría enviar código especialmente diseñado a la aplicación y provocar una condición de denegación de servicio (DoS) en el sistema de destino. 

Puede acceder a la lista completa de vulnerabilidades aquí. 

 
Las versiones de IBM Db2 afectadas son: 

• IBM DB2, versiones 9.7 – 9.7.0.10, 10.1 – 10.1.0.5, 10.5 – 10.5.0.10 y 11.1 FP1 – 11.1.4.6 

Recomendamos instalar las actualizaciones correspondientes provistas por IBM en el siguiente enlace: 

• https://www.ibm.com/support/pages/node/6597637 

Referencias: 

• https://www.cybersecurity-help.cz/vdb/SB2022062418 
• https://www.ibm.com/support/pages/node/6597637 
• https://nvd.nist.gov/vuln/detail/CVE-2022-25315 
• https://nvd.nist.gov/vuln/detail/CVE-2022-25235 
• https://nvd.nist.gov/vuln/detail/CVE-2022-25314