近日，安识科技A-Team团队监测到IBM官方发布通告修复了WebSphere Application Server（WAS）中的一个XML外部实体注入漏洞（CVE-2020-4949），由于WAS未正确处理XML数据，攻击者可以利用此漏洞远程获取服务器上的敏感信息。存在严重的安全隐患，安识科技建议受影响的用户至IBM官网下载安全补丁。

IBM Websphere AS（WebSphere AS）是美国国际商用机器公司（IBM）公司的一个监控Servlet响应状态的服务。该服务负责监视部署资源模型的每个目的地应用程序服务器上的单个 servlet。IBM WebSphere AS 7.0、8.0、8.5、9.0存在WebSphere XML外部实体注入漏洞，攻击者可利用该漏洞可以向WebSphere AS传输恶意XML数据，进行XXE攻击，造成文件读取、敏感信息泄漏等。

攻击者可构造恶意请求进行XXE攻击，造成文件读取、敏感信息泄漏。存在极大的安全隐患。

漏洞影响的版本包括：

IBM WebSphere Application Server 9.0

IBM WebSphere Application Server 8.5

IBM WebSphere Application Server 8.0

IBM WebSphere Application Server 7.0

安识科技建议广大用户及时至官网更新至最新版本。

【-】2021年1月 25日IBM官方发布安全更新

【-】2021年1月28日 安识科技A-Team团队根据公告分析

【-】2021年1月28日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/152978.html