阿里云漏洞库

IBM API Connect XML外部实体注入漏洞

CVE编号

CVE-2017-1322

利用情况

暂无

补丁情况

N/A

披露时间

2017-06-28

漏洞描述

IBM API Connect（又名APIConnect）是美国IBM公司的一套用于管理API生命周期的集成解决方案。该方案支持创建、运行、管理和保护API和微服务等。

IBM API Connect 5.0.0.0版本至5.0.7.0版本中存在XML外部实体注入漏洞。远程攻击者可利用该漏洞泄露敏感信息或消耗内存资源。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
http://www-01.ibm.com/support/docview.wss?uid=swg22003621

参考链接
http://www.ibm.com/support/docview.wss?uid=swg22003621
http://www.securityfocus.com/bid/99258
https://exchange.xforce.ibmcloud.com/vulnerabilities/125918

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	api_connect	5.0.0.0	-
	运行在以下环境
	应用	ibm	api_connect	5.0.0.1	-
	运行在以下环境
	应用	ibm	api_connect	5.0.1.0	-
	运行在以下环境
	应用	ibm	api_connect	5.0.2.0	-
	运行在以下环境
	应用	ibm	api_connect	5.0.3.0	-
	运行在以下环境
	应用	ibm	api_connect	5.0.4.0	-
	运行在以下环境
	应用	ibm	api_connect	5.0.5.0	-
	运行在以下环境
	应用	ibm	api_connect	5.0.6.0	-
	运行在以下环境
	应用	ibm	api_connect	5.0.6.1	-
	运行在以下环境
	应用	ibm	api_connect	5.0.6.2	-
	运行在以下环境
	应用	ibm	api_connect	5.0.7.0	-
	运行在以下环境
	系统	suse_12	kernel-ec2	*		Up to (excluding) 3.12.74-60.64.88
	运行在以下环境
	系统	ubuntu_14.04.6_lts	linux	*		Up to (excluding) 3.13.0-149.199
	运行在以下环境
	系统	ubuntu_16.04.7_lts	linux	*		Up to (excluding) 4.2.0-16.19
	运行在以下环境
	系统	ubuntu_18.04.5_lts	linux	*		Up to (excluding) 4.13.0-16.19

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

无
可用性

低
保密性

高
完整性

无

CWE-ID	漏洞类型
CWE-611	XML外部实体引用的不恰当限制（XXE）