【安全通告】IBM Spectrum Protect Plus任意代码执行漏洞(CVE-2020-4703)

一、综述

近日,IBM 发布安全公告,公布了存在于IBM Spectrum Protect Plus 中的任意代码执行漏洞(CVE-2020-4703)。该漏洞允许经过身份验证的攻击者上传任意文件,这些文件可在易受攻击的服务器上执行任意代码。CVE-2020-4703是由于对先前6月披露的CVE-2020-4470不完整修复造成的。

一同公布的还有目录遍历漏洞CVE-2020-4711,利用该漏洞,攻击者通过发送包含序列(如下图所示)的特殊URL请求可以查看到系统中的任意文件。

官方已发布了临时修订版本。

目前,网上已有关于漏洞的分析和PoC出现。

IBM Spectrum Protect Plus 是用于虚拟环境的数据保护和可用性解决方案。

参考链接:

https://www.ibm.com/support/pages/node/6328867

二、影响范围

受影响产品版本

  • IBM Spectrum Protect Plus 10.1.0-10.1.6

不受影响产品版本

  • IBM Spectrum Protect Plus 10.1.6 ifix4

三、解决方案

官方已发布临时修订版本,且针对以上漏洞并未有其他缓解措施,鉴于已有详细分析和PoC出现,建议相关用户尽快更新进行防护。

更新连接:

https://www.ibm.com/support/pages/node/6254732

Spread the word. Share this post!

Meet The Author

Leave Comment