IBM API Connect严重漏洞安全通告

发布时间 2019-05-05

漏洞编号和级别


CVE编号:CVE-2019-4202,危险级别:严重,CVSS分值:10

CVE编号:CVE-2019-4203,危险级别:严重,CVSS分值:9.8


影响版本及产品


IBM API Connect 5.0.0.0版本至5.0.8.6版本


漏洞概述


IBM API Connect(APIConnect)是美国IBM企业的一套用于管理API生命周期的集成解决方案。该产品支撑创建、运行、管理和保护API和微服务等。是许多金融机构用来支撑PSD2规定的开放银行服务产品。


F-Secure研究人员发现IBM API Connect中存在两个严重漏洞:


CVE-2019-4202

命令注入漏洞,该漏洞源于外部输入数据构造可实行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞实行非法命令。


CVE-2019-4203

本地文件包含漏洞,攻击者可借助Developer Portal利用该漏洞下载主机操作系统上的任意文件并可能实施服务器端请求伪造攻击。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布升级补丁以修复漏洞:
https://www-01.ibm.com/support/docview.wss?uid=ibm10880109

https://www-01.ibm.com/support/docview.wss?uid=ibm10880569


参考链接


https://www-01.ibm.com/support/docview.wss?uid=ibm10880109
https://www-01.ibm.com/support/docview.wss?uid=ibm10880569