免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1IBM CICS TX跨站请求伪造漏洞存在未授权漏洞(CVE-2022-34161)
一、漏洞描述:
IBM CICS TX Advanced是美国IBM公司的一个综合的、单一的事务运行时包。可以为独立应用程序提供云原生部署模型。
IBM CICS TX Advanced 11.1版本存在安全漏洞,该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。
二、风险等级:
高危
三、影响范围:
IBM CICS TX Advanced 11.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6608194
2 IBM DataPower Gateway XML外部实体注入漏洞(CVE-2022-31775)
一、漏洞描述:
IBM DataPower Gateway是美国IBM公司的一套专门为移动、云、应用编程接口(API)、网络、面向服务架构(SOA)、B2B和云工作负载而设计的安全和集成平台。该平台可利用专用网关平台跨渠道保护、集成和优化访问。
IBM DataPower Gateway存在 XML外部实体注入漏洞,该漏洞源于网络系统或产品未设置正确的过滤允许引用外部实体,远程攻击者可利用该漏洞通过发送特制的XML文件读取文件。
二、风险等级:
高危
三、影响范围:
IBM DataPower Gateway >=10.0.2.0,<=10.0.4.0
IBM DataPower Gateway >=10.0.1.0,<=10.0.1.8
IBM DataPower Gateway 10.5.0.0
IBM DataPower Gateway 2018.4.1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6608608
3IBM DataPower Gateway服务器端请求伪造漏洞(CVE-2022-31776)
一、漏洞描述:
IBM DataPower Gateway是美国IBM公司的一套专门为移动、云、应用编程接口(API)、网络、面向服务架构(SOA)、B2B和云工作负载而设计的安全和集成平台。该平台可利用专用网关平台跨渠道保护、集成和优化访问。
IBM DataPower Gateway存在服务器端请求伪造漏洞,该漏洞源于产品未能正确验证用户输入,经过身份验证的攻击者可利用该漏洞从系统发送未经授权的请求,从而可能导致网络枚举或促进其他攻击。
二、风险等级:
高危
三、影响范围:
IBM DataPower Gateway >=10.0.1.0,<=10.0.1.8
IBM DataPower Gateway 10.5.0.0
IBM DataPower Gateway >=2018.4.1.0,<=2018.4.1.21
IBM datapower gateway continuous delivery >=10.0.2.0,<10.5.0.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6608604
4 IBM Robotic Process Automation权限提升漏洞(CVE-2022-30616)
一、漏洞描述:
IBM Robotic Process Automation是美国IBM公司的一种机器人流程自动化产品。可帮助您以传统 RPA 的轻松和速度大规模自动化更多业务和IT流程。
IBM Robotic Process Automation存在权限提升漏洞,该漏洞源于不当的权限管理,特权攻击者可利用该漏洞通过操作API将其权限提升为平台管理员。
二、风险等级:
高危
三、影响范围:
IBM Robotic Process Automation >=21.0.0,<21.0.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6608430 |
发表于 2022-8-17 09:08
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡