CVE-2019-4505: WebSphere 任意文件读取漏洞预警-安全客

CVE-2019-4505: WebSphere 任意文件读取漏洞预警

阅读量244906

发布时间 : 2019-09-20 18:39:54

0x00 漏洞背景

2019年09月20日，360CERT监测到业内安全公司发布了 WebSphere 的任意文件读取漏洞（CVE-2019-4505）。

IBM WebSphere (Web 服务部署中间件)允许远程攻击者构造一个特定的URL获取服务器上的敏感文件。这样可导致攻击者可以查看某个目录中的任何文件。

360CERT判断该漏洞影响面广，危害评定中危。

0x01 影响版本

WebSphere Application Server Version 9.0
WebSphere Application Server Version 8.5
WebSphere Application Server Version 8.0
WebSphere Application Server Version 7.0

以上均为官方支持的版本。

0x02 修复建议

对于WebSphere Application Server traditional和 WebSphere Application Server Hypervisor Edition产品：

9.0.0.0到9.0.5.0版本升级到9.0.5.1之后的版本
8.5.0.0到8.5.5.16版本升级到8.5.5.17之后的版本
9.0.0.0到9.0.5.0版本升级到9.0.5.1之后的版本

对于WebSphere Virtual Enterprise Edition产品：升级到产品最新版本（官方声明WebSphere Virtual Enterprise V7和V8不再支持，建议升级到产品的固定支持版本）

0x03 时间线

2019-07-19 启明ADLab将漏洞详情提交给IBM官方

2019-07-30 IBM官方确认漏洞存在并开始着手修复

2019-09-18 启明ADLab获得CVE编号及IBM官方致谢

2019-09-20 启明ADLab发布预警

2019-09-20 360CERT发布预警

0x04 参考链接

【原创漏洞】WebSphere漏洞预警（CVE-2019-4505）

本文由360CERT安全通告原创发布

转载，请参考转载声明，注明出处： https://www.anquanke.com/post/id/187143

安全客 - 有思想的安全新媒体

分享到：

2赞

360CERT安全通告

分享到：

CVE-2019-4505: WebSphere 任意文件读取漏洞预警

译文声明

0x00 漏洞背景

0x01 影响版本

0x02 修复建议

0x03 时间线

0x04 参考链接

发表评论

TA的文章

安全事件周报 (09.13-09.18)

安全事件周报 (09.05-09.12)

2022年8月勒索病毒态势分析

CVE-2022-34747：Zyxel NAS设备远程代码执行漏洞通告

CVE-2022-2639：Linux Kernel openvswitch 模块权限提升漏洞通告

相关文章

安全事件周报 (09.13-09.18)

安全事件周报 (09.05-09.12)

CVE-2022-34747：Zyxel NAS设备远程代码执行漏洞通告

CVE-2022-2639：Linux Kernel openvswitch 模块权限提升漏洞通告

CVE-2022-3075：Google Chrome远程代码执行漏洞通告

安全事件周报 (08.29-09.04)

CVE-2022-2992：GitLab远程代码执行漏洞通告

热门推荐