某企业应用集成平台的核心组件存在可被远程利用的任意代码执行漏洞,相关安全更新已发布。该平台将行业信任的集成总线技术与云原生能力结合,面向现代数字企业的全面集成需求。
10月8日,发布了安全更新以修复该漏洞。以下为漏洞详情:
漏洞详情
CVE-2021-3757 CVSS 9.8 重要
Node.js 的某个模块可能允许远程攻击者利用原型污染获取任意代码执行、获取敏感信息或导致系统拒绝服务。通过操作 Object.Prototype 的属性,攻击者可以利用此漏洞执行任意代码、获取敏感信息或造成系统不可用。
受影响的产品与版本
- 容器化企业认证组件 1.0 with Operator
- 容器化企业认证组件 1.1 with Operator
- 容器化企业认证组件 1.2 with Operator
- 容器化企业认证组件 1.3 with Operator
- 容器化企业认证组件 1.4 with Operator
- 容器化企业认证组件 1.5 with Operator
解决方案
- 升级到企业认证容器运行时版本 2.0.0(CASE 2.0.0 可用)或更高版本,并确保所有设计组件都在 12.0.1.0-R4 或更高版本。
- 升级到企业认证容器 1.1 LTS,升级到容器运行时版本 1.1.4 EUS(CASE 1.1.4 可用)或更高版本,并确保所有设计组件都在 11.0.0.13-R3-eUS 或更高版本。
查看更多漏洞信息以及升级请访问官方网站获取最新指引。
