IBM DataPower Gateway服务器端请求伪造漏洞(CNVD-2022-56971)
IBM DataPower Gateway是美国IBM公司的一套专门为移动、云、应用编程接口(API)、网络、面向服务架构(SOA)、B2B和云工作负载而设计的安全和集成平台。该平台可利用专用网关平台跨渠道保护、集成和优化访问。
一、漏洞分析
公开日期:2022-08-16
漏洞编号:CNVD-2022-56971/CVE-2022-31776
危害等级:高危
漏洞描述:IBM DataPower Gateway存在服务器端请求伪造漏洞,该漏洞源于产品未能正确验证用户输入,经过身份验证的攻击者可利用该漏洞从系统发送未经授权的请求,从而可能导致网络枚举或促进其他攻击。
二、漏洞影响产品
IBM DataPower Gateway >=10.0.1.0,<=10.0.1.8
IBM DataPower Gateway 10.5.0.0
IBM DataPower Gateway >=2018.4.1.0,<=2018.4.1.21
IBM datapower gateway continuous delivery >=10.0.2.0,<10.5.0.1
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.ibm.com/support/pages/node/6608604
