阿里云漏洞库

漏洞描述

IBM Business Process Manager是一个综合的业务流程管理平台。

IBM Business Process Manager 7.5.x 至 7.5.1.2, 8.0.x 至 8.0.1.3, 8.5.0 至 8.5.0.1, 8.5.5 至 8.5.5.0,8.5.6 至 8.5.6.0存在预定的访问限制绕过漏洞，允许已通过身份验证的远程用户通过未指定向量绕过预定的访问限制任务变量值的变化。

解决建议

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：
http://www-01.ibm.com/support/docview.wss?uid=swg21700717

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg1JR52772
http://www-01.ibm.com/support/docview.wss?uid=swg21700717
http://www.securityfocus.com/bid/75977
http://www.securitytracker.com/id/1033002

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	business_process_manager	7.5.0.0	-
	运行在以下环境
	应用	ibm	business_process_manager	7.5.0.1	-
	运行在以下环境
	应用	ibm	business_process_manager	7.5.1.0	-
	运行在以下环境
	应用	ibm	business_process_manager	7.5.1.1	-
	运行在以下环境
	应用	ibm	business_process_manager	7.5.1.2	-
	运行在以下环境
	应用	ibm	business_process_manager	8.0.0.0	-
	运行在以下环境
	应用	ibm	business_process_manager	8.0.1.0	-
	运行在以下环境
	应用	ibm	business_process_manager	8.0.1.1	-
	运行在以下环境
	应用	ibm	business_process_manager	8.0.1.2	-
	运行在以下环境
	应用	ibm	business_process_manager	8.0.1.3	-
	运行在以下环境
	应用	ibm	business_process_manager	8.5.0.0	-
	运行在以下环境
	应用	ibm	business_process_manager	8.5.0.1	-
	运行在以下环境
	应用	ibm	business_process_manager	8.5.6.0	-

攻击路径

网络
攻击复杂度

低
权限要求

一次
影响范围

N/A
用户交互

无
可用性

无
保密性

无
完整性

部分地

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

IBM Business Process Manager预定访问限制绕过漏洞

漏洞描述

解决建议

参考链接

受影响软件情况