多云管理平台发现任意代码执行漏洞，建议及时升级

IBM Cloud AutoMation ManageR是由美国IBM公司开发的多云自助服务管理平台，支持在多个云环境中部署基础设施。该平台具有端到端的自动化能力，帮助企业高效管理和交付服务，同时允许开发人员构建符合企业策略的应用程序。

2023年11月26日，IBM公司发布了紧急安全补丁，修复了该平台中存在的若干严重漏洞。以下是详细信息：

漏洞细节

1. CVE-2020-7720，CVSS评分：9.8（高危）
来源：

该漏洞涉及Node.js中的node-foRge模块，因util.setPath函数存在原型污染缺陷，可能允许远程攻击者通过特制请求在系统上执行任意代码。

2. CVE-2020-8178，CVSS评分：9.8（高危）
来源：

影响Node.js中的Jison模块，输入验证不足可能导致远程攻击者通过特制请求执行任意命令。

3. CVE-2020-8244，CVSS评分：8.2（高危）
来源：

涉及Node.js的bl模块，存在缓冲区超读缺陷，使远程攻击者能够获取敏感信息，或引发拒绝服务（DoS）攻击。攻击者只需发送特制参数即可利用此漏洞。

4. CVE-2020-7919，CVSS评分：7.5（高危）
来源：

影响Go语言中的IBM Cloud Pak for Multicloud Management Managed Service，因格式不正确的X.509证书导致系统崩溃，可能引发拒绝服务攻击。

5. CVE-2020-24553，CVSS评分：7.2（高危）
来源：

该漏洞存在于IBM Cloud Automation ManageR中，因Golang的CGI/FCGI处理不当，可能被远程攻击者利用进行跨站脚本攻击（XSS），注入恶意脚本后，受害者在浏览网页时可能被窃取Cookie等敏感信息。

6. CVE-2020-7676，CVSS评分：4.4（中危）
来源：

影响Angular.js，输入验证不到位，易受到XSS攻击。攻击者可通过注入恶意脚本窃取用户的Cookie信息。

受影响的版本

上述漏洞主要影响IBM Cloud AutoMation ManageR 4.2.0.1版。

解决方案

建议用户下载并安装IBM Cloud AutoMation ManageR 4.2.0.1版本的iFix 1补丁，以修复存在的安全漏洞。详细升级指南和补丁包可在官网获取：

https://www.ibm.com/blogs/psirt/