IBM WebSphere Application Server目录遍历漏洞（CVE-2021-20354）

Posted 2021-04-02 网络安全威胁和漏洞信息共享平台

点击蓝字

漏

洞

预

警

一、基本情况

近日，IBM发布了WebSphere Application Server目录遍历漏洞的风险公告，漏洞CVE编号：CVE-2021-20354。攻击者通过特制的恶意请求发送至目标系统上进行目录遍历攻击，以查看目标系统上的任意文件。建议受影响用户及时升级最新版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

IBM WebSphere Application Server（WAS）是美国IBM公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台。 该漏洞是由于WAS未正确处理用户发送的URL请求，攻击者可通过发送包含有dot序列（/../）恶意URL请求发送至目标系统上进行目录遍历攻击，以查看目标系统上的任意文件，导致信息泄露。

四、影响范围

WebSphere Application Server 8.0 WebSphere Application Server 8.5 WebSphere Application Server 9.0

五、安全建议

目前IBM已发布最新版，建议受影响用户及时升级至最新版本。 https://www.ibm.com/support/pages/node/6415959

六、参考链接

https://exchange.xforce.ibmcloud.com/vulnerabilities/194883

支持单位：

深信服科技股份有限公司

我知道你在看哟