发布日期：2020-09-08
更新日期：2020-09-21

受影响系统：

IBM Business Process Manager 8.6
IBM Business Process Manager 8.5
IBM Business Automation Workflow 20.0
IBM Business Automation Workflow 19.0
IBM Business Automation Workflow 18.0

描述：

---

CVE(CAN) ID: CVE-2020-4516

IBM Business Process Manager（BPM）和IBM Business Automation Workflow都是美国IBM公司的产品。IBM Business Process Manager是一套综合的业务流程管理平台。该平台为业务的流程建模、组装、监控和部署提供了一系列的相关工具。IBM Business Automation Workflow是一套工作流程自动化解决方案。该产品主要用于工作流程管理、合规性管理，并具有工作流程可见性和可扩展等特点。
IBM Business Process Manager 8.5和8.6版本以及IBM Business Automation Workflow 18.0、19.020.0版本存在跨站脚本执行漏洞。攻击者可利用该漏洞在Web UI中嵌入任意JavaScript代码并更改预期功能，从而可能导致可信会话中的凭据泄露。

<*链接：https://www.ibm.com/support/pages/node/6326901
*>

建议：

---

厂商补丁：

IBM
---
IBM已经为此发布了一个安全公告（6326901）以及相应补丁:
6326901：Security Bulletin: Cross-site scripting vulnerability affects IBM Business Automation Workflow and IBM Business Process Manager (BPM) - CVE-2020-4516
链接：https://www.ibm.com/support/pages/node/6326901

浏览次数：817
严重程度：0（网友投票）