某企业级集成平台是一款将行业广泛使用的集成总线技术与云原生能力结合的解决方案,旨在满足现代数字企业的全面集成需求。
11月8日,发布了安全更新,修复了该平台中发现的任意代码执行漏洞。以下是漏洞详情:
漏洞详情
CVE-2021-23509 CVSS评分:7.3 严重程度:重要
Node.js json-ptR模块可能允许远程攻击者在系统上执行任意代码,这是由指针参数中的原型污染缺陷引起的。通过使用 __Proto__ 或构造函数负载来添加或修改 Object.prototype 的属性,攻击者可以利用此漏洞执行任意代码或在系统上造成拒绝服务。
受影响的产品和版本
- 集成容器 1.4 with Operator
- 集成容器 1.1-eUS with Operator
解决方案
集成容器 1.4
升级到集成容器 Operator 版本 1.5.0(在 CASE 1.5.0 中可用)或更高版本,并确保所有组件都在 12.0.1.0-R1 或更高版本。
集成容器 1.1 LTS
升级到集成容器 Operator 版本 1.1.2 EUS(在 CASE 1.1.2 中可用)或更高版本,并确保所有组件都在 11.0.0.13-R1-eUS 或更高版本。
如需查看更多漏洞信息以及升级,请访问官网。
