近日,IBM发布公告,披露出其WebSphere Application Server存在XXE漏洞。漏洞编号:CVE-2020-4949。 远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。
漏洞详情
IBM WebSphere Application Server(WAS)是由IBM遵照开放标准,例如Java EE、XML及Web Services,开发并发行的一种应用服务器。
官方公告称,通过该漏洞,IBM WebSphere Application Server 在处理XML数据时,可受到XML外部实体注入(XXE)攻击。远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。
风险等级
高
漏洞风险
攻击者可通过该漏洞获取敏感信息或消耗内存资源
影响版本
WebSphere Application Server V9.0.0.0 - 9.0.5.6
WebSphere Application Server V8.5.0.0 - 8.5.5.18
WebSphere Application Server V8.0.0.0 - 8.0.0.15
WebSphere Application Server V7.0.0.0 - 7.0.0.45
安全版本
WebSphere Application Server >= 9.0.5.7
WebSphere Application Server >= 8.5.5.19
WebSphere Application Server >= 8.0.0.15
WebSphere Application Server >= 7.0.0.45
修复建议
请检查所使用的软件版本是否受影响,并根据官方修复指引进行修复
官方修复指导:
https://www.ibm.com/support/pages/node/6407078
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考