CVE-2023-33854
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Podatność w IBM Db2 na Cloud Pak for Data oraz Db2 Warehouse na Cloud Pak for Data w wersjach 4.8, 5.0, 5.1, 5.2 i 5.3 umożliwia uwierzytelnionemu użytkownikowi ominięcie walidacji po stronie klienta i manipulację danymi wejściowymi przy użyciu technik man-in-the-middle.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanej modyfikacji danych przesyłanych między klientem a serwerem, co może prowadzić do naruszenia integralności danych i potencjalnego eskalowania uprawnień w środowisku bazodanowym.
Rekomendacja
Zaleca się natychmiastową aktualizację do najnowszej dostępnej wersji IBM Db2 na Cloud Pak for Data oraz Db2 Warehouse na Cloud Pak for Data, a także wdrożenie mechanizmów szyfrowania ruchu sieciowego (np. TLS) w celu ochrony przed atakami man-in-the-middle.
Oryginalny opis (angielski, źródło NVD)
IBM Db2 on Cloud Pak for Data and Db2 Warehouse on Cloud Pak for Data versions 4.8, 5.0, 5.1, 5.2, and 5.3 could allow an authenticated user to bypass client-side validation and manipulate input data using man in the middle techniques.

