IBM App Connect Enterprise是IBM公司的一个操作系统。IBM App Connect Enterprise 将现有业界信任的 IBM Integration Bus 技术与 IBM App Connect Professional 以及新的云本机技术进行了组合,提供一个可满足现代数字企业全面集成需求的平台。

11月8日,IBM发布了安全更新,修复了IBM App Connect Enterprise企业全面集成需求平台中发现的执行任意代码漏洞。以下是漏洞详情:

漏洞详情

来源: https://www.ibm.com/support/pages/node/6514429

CVE-2021-23509 CVSS评分:7.3 严重程度:重要

Node.js json-ptr模块可能允许远程攻击者在系统上执行任意代码,这是由指针参数中的原型污染缺陷引起的。通过使用 __proto__ 或构造函数负载添加或修改 Object.prototype 的属性,攻击者可以利用此漏洞执行任意代码或在系统上造成拒绝服务条件。

受影响的产品和版本

App Connect Enterprise Certified Container 1.4 with Operator

App Connect Enterprise Certified Container 1.1-eus with Operator

解决方案

App Connect Enterprise Certified Container 1.4

升级到 App Connect Enterprise Certified Container Operator 版本 1.5.0(在 CASE 1.5.0 中可用)或更高版本,并确保所有组件都在 12.0.1.0-r1 或更高版本。

App Connect Enterprise Certified Container 1.1 LTS

升级到 App Connect Enterprise Certified Container Operator 1.1.2 EUS(在 CASE 1.1.2 中可用)或更高版本,并确保所有组件都在 11.0.0.13-r1-eus 或更高版本。

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/