IBM Integration Bus是IBM公司为各种规模、各种行业或各种复杂度的企业提供的一种后端系统集成解决方案。7月11日,IBM发布安全公告,IBM Integration Bus集成解决方案发现任何代码漏洞,需要尽快修复。以下是漏洞的详细信息:
漏洞详情
来源: https://www.ibm.com/support/pages/node/6602581
CVE-2022-29078 CVSS评分:9.8 严重程度:严重程度
Node.js ejs 该模块允许远程攻击者在系统上执行任何代码 [查看选项] [输出函数名] 服务器端模板注入缺陷。通过发送特殊的 HTTP 任意使用请求 OS 命令覆盖 outputFunctionName 攻击者可以利用这个漏洞在系统上执行任何代码。
产品和版本受影响
IBM Integration Bus 10.0.0.0 - 10.0.0.26版本
解决方案
IBM 强烈建议现在通过对 IBM Integration Bus 解决漏洞的步骤如下:
对于 IBM Integration Bus v10 10.0.0.0 - 10.0.0.用户可以禁用node.js
请参考官方指南:"在 IBM Integration Bus 10.0.0.24 和后续 v10.0 禁止修订包 Node.js"
https://www.ibm.com/support/pages/node/6474449
查看更多漏洞信息 升级请访问官网:
https://www.ibm.com/blogs/psirt/
