三项漏洞皆由昵称Tint0的研究人员发现,并通过趋势科技的Zero Day Initiatives(ZDI)团队通报IBM。三项漏洞分别为CVE-2020-4448、CVE-2020-4449及CVE-2020-4450。其中CVE-2020-4448发生于IBM Websphere Application Server中,BroadcastMessageManager组件对用户传入的资料未做适当验证,导致恶意资料进行反串行化(deserialization)。结果造成远程攻击者可利用该漏洞,以系统管理员权限执行任意程序代码,这项漏洞CVSS 3.0风险评分为9.8,属于重大漏洞。
IBM Websphere Application Server另外2个漏洞,来自对IIOP协议处理不当,未能对用户提供的信息适当验证,让用户得发送恶意串行化对象,导致资料反串行化。CVE-2020-4449让攻击者可利用根权限泄露信息,漏洞CVSS 3.0风险评分为7.5属于高度风险,CVE-2020-4450则让攻击者利用根权限执行任意程序代码,其CVSS 3.0风险评分为9.8,属于重大漏洞。
CVE-2020-4448影响WebSphere Application Server ND 8.5/9.0,WebSphere Virtual Enterprise 7.0/8.0。CVE-2020-4449影响WebSphere Application Server 7.0/8.0/8.5/9.0。而CVE-2020-4450则影响最新近的WebSphere Application Server 8.5/9.0。
在研究团队4月通报后,IBM已经在上星期将之修补完成,IBM表示没有证据显示有漏洞开采情形发生。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理