WebSphere Application Server XXE漏洞安全风险通告

2020-09-22 17:03:23
WebSphere Application Server被曝存在XXE漏洞,IBM WebSphere Application Server在处理XML数据时,容易受到XML外部实体注入(XXE)攻击,远程攻击者可以利用此漏洞来窃取敏感信息。

漏洞描述:

2020922日,腾讯安全团队注意到WebSphere Application Server被曝存在XXE漏洞,IBM WebSphere Application Server在处理XML数据时,容易受到XML外部实体注入(XXE)攻击,远程攻击者可以利用此漏洞来窃取敏感信息。 

WebSphere Application Server 是一款由IBM 公司开发的高性能的Java 中间件服务器,可用于构建、运行、集成、保护和管理部署的动态云和Web 应用。它不仅能够确保高性能和灵活性,还提供多种开放标准编程模型选项,旨在最大程度提高开发人员的生产力。 

 

漏洞等级:

高危,CVSS评分7.5

 

受影响的版本:

IBM WebSphere Application Server 7.0-7.0.0.45

IBM WebSphere Application Server 8.0-8.0.0.15

IBM WebSphere Application Server 8.5-8.5.5.17

IBM WebSphere Application Server 9.0-9.0.5.5

 

已修复的版本:

IBM WebSphere Application Server > 7.0.0.45

IBM WebSphere Application Server > 8.0.0.15

IBM WebSphere Application Server > 8.5.5.19

IBM WebSphere Application Server > 9.0.5.6

 

漏洞修复:

目前官方已发布补丁修复了该漏洞(PH27509),腾讯安全专家建议受影响的用户尽快更新。

可手动进行版本更新与补丁安装,下载地址:https://www.ibm.com/support/pages/node/6333617

 

参考资料:

https://www.ibm.com/support/pages/security-bulletin-websphere-application-server-vulnerable-information-exposure-vulnerability-cve-2020-4643

https://www.ibm.com/support/pages/node/6333617

最新资讯