ibm automation_workstream_services 授权机制不正确

CVE编号

CVE-2020-4794

利用情况

暂无

补丁情况

N/A

披露时间

2020-12-22
漏洞描述
IBM Business Process Manager(BPM)等都是美国IBM公司的产品。IBM Business Process Manager是一套综合的业务流程管理平台。IBM Business Automation Workflow是一套工作流程自动化解决方案。IBM Process Federation Server Component是一个IBM BPM环境的可选组件。

IBM Automation Workstream Services 19.0.3、20.0.1、20.0.2版本,IBM Business Automation Workflow 18.0、19.0、20.0版本和IBM Business Process Manager 8.6版本存在授权问题漏洞。经过身份认证的攻击者可利用该漏洞获取敏感信息或导致拒绝服务。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6359463
参考链接
https://exchange.xforce.ibmcloud.com/vulnerabilities/189445
https://www.ibm.com/support/pages/node/6359463
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 ibm automation_workstream_services 19.0.3 -
运行在以下环境
应用 ibm automation_workstream_services 20.0.1 -
运行在以下环境
应用 ibm automation_workstream_services 20.0.2 -
运行在以下环境
应用 ibm business_automation_workflow 18.0.0.0 -
运行在以下环境
应用 ibm business_automation_workflow 18.0.0.1 -
运行在以下环境
应用 ibm business_automation_workflow 18.0.0.2 -
运行在以下环境
应用 ibm business_automation_workflow 19.0.0.0 -
运行在以下环境
应用 ibm business_automation_workflow 19.0.0.1 -
运行在以下环境
应用 ibm business_automation_workflow 19.0.0.2 -
运行在以下环境
应用 ibm business_automation_workflow 19.0.0.3 -
运行在以下环境
应用 ibm business_automation_workflow 20.0.0.0 -
运行在以下环境
应用 ibm business_automation_workflow 20.0.0.1 -
运行在以下环境
应用 ibm business_automation_workflow 20.0.2.0 -
运行在以下环境
应用 ibm business_process_manager 8.0.0.0 -
运行在以下环境
应用 ibm business_process_manager 8.0.1.0 -
运行在以下环境
应用 ibm business_process_manager 8.0.1.1 -
运行在以下环境
应用 ibm business_process_manager 8.0.1.2 -
运行在以下环境
应用 ibm business_process_manager 8.0.1.3 -
运行在以下环境
应用 ibm business_process_manager 8.5.0.0 -
运行在以下环境
应用 ibm business_process_manager 8.5.0.1 -
运行在以下环境
应用 ibm business_process_manager 8.5.0.2 -
运行在以下环境
应用 ibm business_process_manager 8.5.5.0 -
运行在以下环境
应用 ibm business_process_manager 8.5.6.0 -
运行在以下环境
应用 ibm business_process_manager 8.5.6.1 -
运行在以下环境
应用 ibm business_process_manager 8.5.6.2 -
运行在以下环境
应用 ibm business_process_manager 8.5.7.0 -
运行在以下环境
应用 ibm business_process_manager 8.6 -
CVSS3评分
5.4
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L
CWE-ID 漏洞类型
CWE-863 授权机制不正确
阿里云安全产品覆盖情况