IBM DataPower Gateway XML外部实体注入漏洞（CNVD-2022-56970）

IBM DataPower Gateway XML外部实体注入漏洞（CNVD-2022-56970）

IBM DataPower Gateway是美国IBM公司的一套专门为移动、云、应用编程接口（API）、网络、面向服务架构（SOA）、B2B和云工作负载而设计的安全和集成平台。该平台可利用专用网关平台跨渠道保护、集成和优化访问。

一、漏洞分析

 公开日期：2022-08-16

 漏洞编号：CNVD-2022-56970/CVE-2022-31775

 危害等级：高危

 漏洞描述：IBM DataPower Gateway存在XML外部实体注入漏洞，该漏洞源于网络系统或产品未设置正确的过滤允许引用外部实体，远程攻击者可利用该漏洞通过发送特制的XML文件读取文件。

二、漏洞影响产品

IBM DataPower Gateway >=10.0.2.0，<=10.0.4.0

IBM DataPower Gateway >=10.0.1.0，<=10.0.1.8

IBM DataPower Gateway 10.5.0.0

IBM DataPower Gateway 2018.4.1.0

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.ibm.com/support/pages/node/6608608