A IBM anunciou esta semana patches para vulnerabilidades de alta gravidade no IBM MQ, alertando que invasores podem explorá-los para contornar restrições de segurança ou acessar informações confidenciais.

O IBM MQ fornece mensagens de nível empresarial entre aplicativos, permitindo a transferência de dados entre programas e o envio de mensagens para vários assinantes. Dois problemas de segurança foram resolvidos no IBM MQ esta semana, ambos residindo na biblioteca libcurl.

Ambas as falhas podem ser exploradas remotamente, observa a IBM em um comunicado. Rastreado como CVE-2022-27780, o primeiro desses bugs pode permitir que um invasor ignore as restrições de segurança usando um nome de host especialmente criado em uma URL.

A segunda vulnerabilidade, CVE-2022-30115, existe devido a uma falha de desvio de verificação HSTS e pode ser explorada para obter informações confidenciais em HTTP de texto simples.