【安全通告】 WebSphere XML外部实体注入(XXE)漏洞安全风险通告(CVE-2020-4949)
摘要:
尊敬的腾讯云用户,您好!近日,腾讯云安全运营中心监测到,IBM发布公告,披露出其WebSphere Application Server存在XXE漏洞。漏洞编号:CVE-2020-4949。 远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情
IBM WebSphere Application Server(WAS)是由IBM遵照开放标准,例如Java EE、XML及Web Services,开发并发行的一种应用服务器。
官方公告称,通过该漏洞,IBM WebSphere Application Server 在处理XML数据时,可受到XML外部实体注入(XXE)攻击。远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。
风险等级高漏洞风险攻击者可通过该漏洞获取敏感信息或消耗内存资源影响版本
WebSphere Application Server V9.0.0.0 - 9.0.5.6
WebSphere Application Server V8.5.0.0 - 8.5.5.18
WebSphere Application Server V8.0.0.0 - 8.0.0.15
WebSphere Application Server V7.0.0.0 - 7.0.0.45
安全版本
WebSphere Application Server >= 9.0.5.7
WebSphere Application Server >= 8.5.5.19
WebSphere Application Server >= 8.0.0.15
WebSphere Application Server >= 7.0.0.45
修复建议
请检查所使用的软件版本是否受影响,并根据官方修复指引进行修复
官方修复指导:
https://www.ibm.com/support/pages/node/6407078
【备注】:建议您在升级前做好数据备份工作,避免出现意外腾讯云安全解决方案
- 腾讯 T-Sec Web 应用防火墙已支持防护WebSphere Application Serve XML外部实体(XXE)注入漏洞(CVE-2020-4949)
漏洞参考
https://www.ibm.com/support/pages/node/6408244