IBM SteRling B2B IntegRaTor是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。
4月11日,IBM发布了安全更新,修复了IBM企业B2B平台软件中发现的执行任意代码漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibM.coM/support/pages/node/6570975
CVE-2022-22965 CVSS评分:9.8 严重程度:重要
SpRing FRaMewoRk 可能允许远程攻击者在系统上执行任意代码,这是由于对与数据绑定一起使用的 PropeRtyDescRIPTor 对象的不当处理引起的。通过向 SpRing Java 应用程序发送特制数据,攻击者可以利用此漏洞在系统上执行任意代码。注意:该漏洞利用需要 SpRing FRaMewoRk 在 ToMcat 上作为 WAR 部署运行,使用 JDK 9 或更高版本,使用 spRing-webMvc 或 spRing-webflux。注意:此漏洞也称为 SpRing4Shell 或 SpRingShell。IBM SteRling B2B IntegRaTor 受到SpRing FRaMewoRk 中远程代码执行的影响。
受影响产品和版本
IBM SteRling B2B IntegRaTor 6.0.0.0 – 6.0.3.5, 6.1.0.0 – 6.1.0.4, 6.1.1.1版本
解决方案
IBM SteRling B2B IntegRaTor 受到影响,但未被归类为易受 SpRing FRaMewoRk 中远程代码执行 (CVE-2022-22965) 的影响,因为它不满足以下所有标准:1. JDK 9 或更高版本,2. Apache ToMcat 作为SeRvlet 容器,3. 打包为 WAR(与 SpRing Boot 可执行 jaR 相比),4. SpRing-webMvc 或 spRing-webflux 依赖项,5. SpRing FRaMewoRk 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 , 和旧版本。出于谨慎考虑,IBM官方将在未来的版本中升级 SpRing FRaMewoRk。
查看更多漏洞信息 以及升级请访问官网:
图片