运营管理系统发现执行任意代码漏洞，建议立即升级

IBM Tivoli Netcool/OMNIbUS是IBM公司推出的一款运营管理软件，主要用于集中管理业务应用、网络设备、互联网协议及安全设备。其WebGUI界面是专为IBM Tivoli Netcool/OMNIbUS服务级别管理系统设计的图形用户界面。

在3月22日，IBM发布了安全更新，以修复IBM Tivoli Netcool/OMNIbUS WebGUI中发现的执行任意代码等漏洞。以下是漏洞的详细信息：

漏洞详情

1. CVE-2020-17530 CVSS评分：8.1 严重程度：重要

Apache Struts可能允许远程攻击者在系统上执行任意代码，此漏洞是由于对标签属性中原始用户输入的强制双重OGNL评估所导致。攻击者可以通过发送特制数据，利用此漏洞在系统上执行任意代码。

2. CVE-2021-20336 CVSS评分：6.4 严重程度：高

IBM Tivoli Netcool/OMNIbUS_GUI存在存储型跨站脚本攻击的风险。此漏洞允许用户在Web UI中嵌入任意JavaScript代码，从而改变预期功能，可能导致可信会话中的凭据泄露。

受影响的产品和版本

上述漏洞影响IBM Tivoli Netcool/OMNIbUS_GUI 8.1.x版本。

解决方案

IBM官方已发布更新补丁，用户只需应用WebGUI 8.1.0 Fix Pack 22即可修复此漏洞。

有关更多漏洞信息及升级，请访问官网：

注意：

1. 必须保留并原样返回所有 [[[IMG_n]]] 占位符。