关键漏洞信息 漏洞概述 CVE ID: CVE-2019-4204 影响产品: - IBM Business Automation Workflow V18.0.0.0 至 V19.0.0.1 - IBM Business Process Manager V8.6.0.0 至 V8.6.0.0 Cumulative Fix 2018.03 - IBM Business Process Manager V8.5.7.0 至 V8.5.7.0 Cumulative Fix 2017.06 漏洞细节 描述: IBM Business Automation Workflow 存在跨站脚本漏洞,允许用户在 Web UI 中嵌入任意 JavaScript 代码,从而改变预期功能,可能导致受信任会话中的凭证泄露。 CVSS 分数: - 基础分数: 5.4 - 环境分数: 未定义 - 矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 影响版本及补救措施/修复 推荐解决方案: - 应用包含 APAR JR60830 的 Interim Fix (iFix) 或 Cumulative Fix (CF) 特定版本的修复步骤: - IBM Business Automation Workflow V18.0.0.0 至 V19.0.0.1: - 升级到至少 V18.0.0.1 并应用 iFix JR60830 - 或者,应用 Cumulative Fix V19.0.0.2 (原计划于 2019 年第二季度末发布) - IBM Business Process Manager V8.6.0.0 至 V8.6.0.0 CF 2018.03: - 升级到至少 V8.6.0.0 CF 2017.12 并应用 iFix JR60830 - 或者,升级到 Business Automation Workflow V19.0.0.1 - IBM BPM V8.5.7.0 至 V8.5.7.0 CF 2017.06: - 应用 Cumulative Fix 2017.06 并应用 iFix JR60830 - 或者,升级到 Business Automation Workflow V19.0.0.1 备注与重要说明 变通方法和缓解措施: 无 IBM 强烈建议所有 System z 客户订阅 System z Security Portal,以接收最新的关键 System z 安全和完整性服务。 其他 变更历史: 2019 年 5 月 9 日 - 初始版本发布 相关链接: - IBM 安全工程 Web 门户 - IBM 产品安全事件响应博客