IBM WebSphere Application Server XML外部实体注入漏洞

IBM WebSphere Application Server XML外部实体注入漏洞

IBM WebSphere Application Server（WAS）是由IBM遵照开放标准，例如Java EE、XML及Web Services，开发并发行的一种应用服务器。

一、漏洞分析

 公开日期：2021-01-27

 漏洞编号：CNVD-2021-06634/CVE-2020-4949

 危害等级：高危

 漏洞描述：IBM WebSphere Application Server 7.0、8.0、8.5、9.0存在XML外部实体注入(XXE)漏洞。远程攻击者可利用该漏洞获取敏感信息或消耗内存资源。

二、漏洞影响产品

IBM WebSphere Application Server 8.5

IBM Websphere Application Server 8.0

IBM Websphere Application Server 7.0

IBM WebSphere Application Server 9.0

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.ibm.com/support/pages/node/6408244