首頁 > 安全研究 > 安全通報 > 安全通告

IBM API Connect嚴重漏洞安全通告

發布時間 2019-05-05

漏洞編號和級別


CVE編號:CVE-2019-4202,危險級別:嚴重,CVSS分值:10

CVE編號:CVE-2019-4203,危險級別:嚴重,CVSS分值:9.8


影響版本及產品


IBM API Connect 5.0.0.0版本至5.0.8.6版本


漏洞概述


IBM API Connect(APIConnect)是美國IBM公司的一套用于管理API生命周期的集成解決方案。該產品支持創建、運行、管理和保護API和微服務等。是許多金融機構用來支持PSD2規定的開放銀行服務產品。


F-Secure研究人員發現IBM API Connect中存在兩個嚴重漏洞:


CVE-2019-4202

命令注入漏洞,該漏洞源于外部輸入數據構造可執行命令過程中,網絡系統或產品未正確過濾其中的特殊元素。攻擊者可利用該漏洞執行非法命令。


CVE-2019-4203

本地文件包含漏洞,攻擊者可借助Developer Portal利用該漏洞下載主機操作系統上的任意文件并可能實施服務器端請求偽造攻擊。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞:
https://www-01.ibm.com/support/docview.wss?uid=ibm10880109

https://www-01.ibm.com/support/docview.wss?uid=ibm10880569


參考鏈接


https://www-01.ibm.com/support/docview.wss?uid=ibm10880109
https://www-01.ibm.com/support/docview.wss?uid=ibm10880569
 


上一篇 下一篇