Múltiples vulnerabilidades en IBM Tivoli Netcool Configuration Manager Jue, 16/07/2026 - 12:01

        Aviso

Recursos Afectados
          IBM Tivoli Netcool Configuration Manager: versiones desde la 6.4.2 GA hasta la 6.4.2.24.

Descripción
          IBM ha publicado 7 vulnerabilidades, de las cuales 1 es de severidad crítica,5 de severidad alta, y 1 de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código arbitrario de forma remota y eludir mecanismos de autenticación entre otros impactos, comprometiendo la confidencialidad, integridad y disponibilidad de los sistemas afectados.

Identificador
          INCIBE-2026-496

Solución
          El fabricante recomienda actualizar a la versión 6.4.2 que corrige las vulnerabilidades.

Detalle
          CVE-2026-11536: ejecución remota de código en el conector SOAP/JMX derivada de una deserialización de datos no confiables. Un atacante con los privilegios necesarios podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema afectado.CVE-2026-10845: mecanismo de autenticación incorrecto que podría permitir a un atacante remoto eludir la autenticación y obtener acceso no autorizado a aplicaciones JAX-WS desplegadas en IBM WebSphere Application Server.CVE-2026-11594 y CVE-2026-11383: Cross-Site Scripting (XSS) en la consola administrativa de IBM WebSphere Application Server que podrían permitir la ejecución de código malicioso en el navegador de un usuario autenticado mediante contenido especialmente manipulado.CVE-2026-11541 y CVE-2026-9006: HTTP Request Smuggling y Server-Side Request Forgery (SSRF) que podrían permitir a un atacante manipular el procesamiento de solicitudes HTTP o enviar peticiones no autorizadas desde el servidor, facilitando la evasión de controles de seguridad y la divulgación de información.

        5 - Crítica

  Listado de referencias

          Security Bulletin: Multiple vulnerabilities in IBM WebSphere Application Server, which impacts IBM Tivoli Netcool Configuration Manager

Etiquetas

                        Acceso no autorizado
                                    Actualización
                                    Autenticación
                                                    Aviso
            +
                                                Código arbitrario
                                    Explotación de Vulnerabilidades de software
                                    XSS
                        -

CVE

                        Identificador CVE
                        Severidad
                        Explotación
                        Fabricante

                  CVE-2026-11707
                  Crítica
                  No
                  IBM

                  CVE-2026-11536
                  Alta
                  No
                  IBM

                  CVE-2026-11594
                  Alta
                  No
                  IBM

                  CVE-2026-10845
                  Alta
                  No
                  IBM

                  CVE-2026-11541
                  Alta
                  No
                  IBM

                  CVE-2026-9006
                  Alta
                  No
                  IBM

                  CVE-2026-11383
                  Media
                  No
                  IBM

Llegir l'article original