IBM Security Access Manager 和 IBM Security Verify Access 安全漏洞

CVE编号

CVE-2019-4552

利用情况

暂无

补丁情况

N/A

披露时间

2020-10-16
漏洞描述
IBM Security Access Manager和IBM Security Verify Access(ISAM)都是美国IBM公司的产品。IBM Security Access Manager是一款应用于信息安全管理的产品。该产品通过面向Web、移动和云计算的集成设备来实现访问管理控制。IBM Security Verify Access是一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT 和云技术等平台安全简单的访问

IBM Security Access Manager 9.0.7版本和IBM Security Verify Access 10.0.0版本存在HTTP响应拆分漏洞,攻击者可利用该漏洞可以利用此漏洞,使用特别设计的URL,使服务器在单击URL后返回分割响应。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6348046
参考链接
https://exchange.xforce.ibmcloud.com/vulnerabilities/165960
https://www.ibm.com/support/pages/node/6348046
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 ibm security_access_manager * From
(including)
9.0.7.0 		Up to
(excluding)
9.0.7.2
运行在以下环境
应用 ibm security_verify_access * From
(including)
10.0.0 		Up to
(excluding)
10.0.0.1
CVSS3评分
6.1
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    已更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CWE-ID 漏洞类型
NVD-CWE-Other
阿里云安全产品覆盖情况