漏洞预警IBM WebSphere XXE 漏洞 (CVE-2020-4949)

Posted 阿里云应急响应

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警IBM WebSphere XXE 漏洞 (CVE-2020-4949)相关的知识,希望对你有一定的参考价值。

近日,IBM官方发布安全更新,修复了由蚂蚁安全非攻实验室发现的CVE-2020-4949 IBM WebSphere XXE 漏洞。

01

漏洞描述

IBM WebSphere Application Server(WAS)是由IBM遵照开放标准,例如Java EE、XML及Web Services,开发并发行的一种应用服务器。近日,IBM官方发布安全更新,修复了由蚂蚁安全非攻实验室发现的CVE-2020-4949 IBM WebSphere XXE 漏洞。攻击者可构造恶意请求进行XXE攻击,造成文件读取、敏感信息泄漏等。阿里云应急响应中心提醒 WebSphere 用户尽快采取安全措施阻止漏洞攻击。

02

影响版本

IBM WebSphere Application Server 9.0

IBM WebSphere Application Server 8.5

IBM WebSphere Application Server 8.0

IBM WebSphere Application Server 7.0

03

安全版本

IBM WebSphere Application Server >= 9.0.5.7
IBM WebSphere Application Server >= 8.0.0.15
IBM WebSphere Application Server >= 7.0.0.45

04

安全建议

升级至安全版本。

05

相关链接

https://www.ibm.com/support/pages/node/6408244

06

安全产品


安全产品 解决方案
云盾WAF
已可防护该类漏洞,并提供7天免费漏洞应急服务,为   您争取漏洞 修复时间,应急开通地址:https://c.tb.cn/I3.XzCtR
阿里云云安全中心 应急漏洞模块已支持对该漏洞一键检测
阿里云云防火墙  已可以防御此攻击

         


以上是关于漏洞预警IBM WebSphere XXE 漏洞 (CVE-2020-4949)的主要内容,如果未能解决你的问题,请参考以下文章

更新IBM WebSphere Application Server XXE 漏洞CVE-2020-4643

漏洞报送WebSphere XML外部实体(XXE)注入漏洞

漏洞通报|WebSphere Application Server容易受到XML外部实体(XXE)注入漏洞

关于IBM WebSphere Application Server远程代码执行漏洞的预警提示

漏洞通告WebSphere XML外部实体注入(XXE)漏洞(CVE-2020-4643)处置手册

漏洞预警 | WebSphere XML外部实体注入漏洞