IBM业务自动化工作流软件将业务流程管理与案例管理功能整合到一个集成的工作流解决方案中。它有效地将信息流与用户结合,为业务提供全面的信息,助力实现更优异的业务成果。
在12月29日,IBM发布了安全更新,修复了IBM业务自动化工作流解决方案中发现的若干重大漏洞。以下是具体漏洞详情:
漏洞详情
1. 第三方条目:186425 CVSS评分:8.7 高
jose.4.j库是一个用Java编写的开源实现,依赖于JCA API进行加密,提供健壮且易用的JSON Web Token(JWT)和JOSE规范(JWS、JWE和JWK)支持。该库允许远程攻击者获取敏感信息,如果JWK的头参数包含公钥,则可能因椭圆曲线密钥泄漏而导致。攻击者能够生成私钥/公钥对,并将公钥与签名一起发送,进而使签名失效。IBM业务自动化工作流中的IBM内容导航组件受到此漏洞影响。
2. CVE-2020-4704 CVSS评分:6.4 高
IBM Content Navigator 3.0CD易受到存储跨站脚本攻击的影响。该漏洞允许用户在Web界面中嵌入任意JavaScript代码,可能导致信任会话中的凭据泄露,IBM业务自动化工作流中的IBM内容导航组件也受此漏洞影响。
3. CVE-2020-4760 CVSS评分:5.4 中
IBM Content Navigator 3.0CD同样容易受到跨站脚本攻击的影响,该漏洞允许用户在Web界面中嵌入任意JavaScript代码,可能导致信任会话中的凭据泄露,IBM业务自动化工作流中的IBM内容导航组件也受到此漏洞影响。
4. CVE-2020-4687 CVSS评分:4.3 中
IBM内容导航器3.0.7和3.0.8可能允许经过身份验证的用户查看本不应访问的其他用户的缓存内容。
受影响的产品和版本
上述漏洞影响IBM业务自动化工作流版本19.0.0.x和20.0.0.1。
解决方案
建议尽快应用包含APAR JR62610的临时修复(iFix)或累积修复(CF)。
对于业务自动化工作流v19.0.0.x和v20.0.0.1,需根据iFix的要求升级到最低累积修复级别,然后应用iFix JR62610,或直接应用业务自动化工作流V20.0.0.2或更高版本的累积修复。
欲了解更多漏洞信息及升级详情,请访问官网:
(图片)
(图片)
(图片)
(图片)
