IBM API Connect严重漏洞安全通告
发布时间 2019-05-05漏洞编号和级别
CVE编号:CVE-2019-4203,危险级别:严重,CVSS分值:9.8
影响版本及产品
IBM API Connect 5.0.0.0版本至5.0.8.6版本
漏洞概述
IBM API Connect(APIConnect)是美国IBM企业的一套用于管理API生命周期的集成解决方案。该产品支撑创建、运行、管理和保护API和微服务等。是许多金融机构用来支撑PSD2规定的开放银行服务产品。
F-Secure研究人员发现IBM API Connect中存在两个严重漏洞:
命令注入漏洞,该漏洞源于外部输入数据构造可实行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞实行非法命令。
本地文件包含漏洞,攻击者可借助Developer Portal利用该漏洞下载主机操作系统上的任意文件并可能实施服务器端请求伪造攻击。
漏洞验证
暂无POC/EXP。
修复建议
https://www-01.ibm.com/support/docview.wss?uid=ibm10880109
https://www-01.ibm.com/support/docview.wss?uid=ibm10880569
参考链接
https://www-01.ibm.com/support/docview.wss?uid=ibm10880569
京公网安备11010802024551号