一、综述
近日,IBM 发布安全公告,公布了存在于IBM Spectrum Protect Plus 中的任意代码执行漏洞(CVE-2020-4703)。该漏洞允许经过身份验证的攻击者上传任意文件,这些文件可在易受攻击的服务器上执行任意代码。CVE-2020-4703是由于对先前6月披露的CVE-2020-4470不完整修复造成的。
一同公布的还有目录遍历漏洞CVE-2020-4711,利用该漏洞,攻击者通过发送包含序列(如下图所示)的特殊URL请求可以查看到系统中的任意文件。
官方已发布了临时修订版本。
目前,网上已有关于漏洞的分析和PoC出现。
IBM Spectrum Protect Plus 是用于虚拟环境的数据保护和可用性解决方案。
参考链接:
https://www.ibm.com/support/pages/node/6328867
二、影响范围
受影响产品版本
- IBM Spectrum Protect Plus 10.1.0-10.1.6
不受影响产品版本
- IBM Spectrum Protect Plus 10.1.6 ifix4
三、解决方案
官方已发布临时修订版本,且针对以上漏洞并未有其他缓解措施,鉴于已有详细分析和PoC出现,建议相关用户尽快更新进行防护。
更新连接: