原标题:云安全日报210323:IBM运营管理系统发现执行任意代码漏洞,需要尽快升级
IBM Tivoli Netcool/OMNIbus是IBM公司运营管理软件,主要对业务应用、网络设备、Internet 协议和安全设备提供了集中式的管理。IBM Tivoli Netcool/OMNIbus WebGUI是IBM公司的一款用于IBM Tivoli Netcool/OMNIbus服务级别管理系统的图形用户界面。
3月22日,IBM发布了安全更新,修复了IBM Tivoli Netcool/OMNIbus WebGUI中发现的执行任意代码等漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibm.com/support/pages/node/6427953
1.CVE-2020-17530 CVSS评分:8.1 严重程度:重要
Apache Struts可能允许远程攻击者在系统上执行任意代码,这是由对标签属性中原始用户输入的强制双重OGNL评估引起的。通过发送特制数据,攻击者可以利用此漏洞在系统上执行任意代码。
2.CVE-2021-20336 CVSS评分:6.4 严重程度:高
IBM Tivoli Netcool / OMNIbus_GUI容易受到存储的跨站点脚本的攻击。此漏洞允许用户在Web UI中嵌入任意JavaScript代码,从而更改预期的功能,从而可能导致可信会话中的凭据泄露。
受影响的产品和版本
上述漏洞影响 IBM Tivoli Netcool / OMNIbus_GUI 8.1.x版本
解决方案
IBM官方已发布更新补丁,对于Tivoli Netcool / OMNIbus WebGUI应用WebGUI 8.1.0 Fix Pack 22即可修复
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/