发布日期：2020-03-25
更新日期：2020-04-14

受影响系统：

IBM Websphere Application Server 9.0
IBM Websphere Application Server 8.5
IBM Websphere Application Server 8.0
IBM Websphere Application Server 7.0

描述：

---

CVE(CAN) ID: CVE-2020-4276

IBM WebSphere Application Server（WAS）是一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。

IBM WAS traditional在管理请求中通过 SOAP connector使用基于令牌的身份验证时存在提权漏洞，通过向WebSphere SOAP Connector发送恶意构造的请求，可能使攻击者在未授权的情况下在受影响服务器上执行任意代码。

<*来源：Noxxx
  *>

建议：

---

厂商补丁：

IBM
---
官方已经发布修复了漏洞的新版本，请受影响的用户尽快更新进行防护。
对于受漏洞影响，但已停止维护的版本，官方也提供了补丁程序。
请前往以下地址下载：
https://www.ibm.com/support/pages/node/6174273
https://www.ibm.com/support/pages/node/6118006
另，建议限制WebSphere SOAP Connector 默认监听端口（8880）的开放范围。
官方通告：
https://www.ibm.com/support/pages/node/6174417
https://www.ibm.com/support/pages/node/6118222

浏览次数：1229
严重程度：0（网友投票）