阿里云漏洞库

IBM Business Process Manager 8.5.7.0至8.5.7.0 2017.06、8.6.0.0至8.6.0.0 CF2018.03和IBM Business Automation Workflow 18.0.0.1至19.0.0.3容易受到SQL注入的攻击。

CVE编号

CVE-2019-4669

利用情况

暂无

补丁情况

N/A

披露时间

2020-02-28

漏洞描述

IBM Business Process Manager 8.5.7.0至8.5.7.0 2017.06、8.6.0.0至8.6.0.0 CF2018.03和IBM Business Automation Workflow 18.0.0.1至19.0.0.3容易受到SQL注入的攻击。远程攻击者可以发送特制的SQL语句，从而可以使攻击者查看，添加，修改或删除后端数据库中的信息。 IBM X-Force ID：171254。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://www.ibm.com/support/pages/node/3552261

参考链接
https://exchange.xforce.ibmcloud.com/vulnerabilities/171254
https://www.ibm.com/support/pages/node/3552261

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	business_automation_workflow	*	From (including) 18.0.0.1	Up to (including) 19.0.0.3
	运行在以下环境
	应用	ibm	business_process_manager	8.5.7.0	-
	运行在以下环境
	应用	ibm	business_process_manager	8.6.0.0	-

攻击路径

网络
攻击复杂度

低
权限要求

低
影响范围

未更改
用户交互

无
可用性

低
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

IBM Business Process Manager 8.5.7.0至8.5.7.0 2017.06、8.6.0.0至8.6.0.0 CF2018.03和IBM Business Automation Workflow 18.0.0.1至19.0.0.3容易受到SQL注入的攻击。

漏洞描述

解决建议

参考链接

受影响软件情况