关键漏洞信息 CVE ID: CVE-2020-4768 描述: IBM Case Manager 和 IBM Business Automation Workflow 可能受到跨站脚本攻击。此漏洞允许用户在 Web UI 中嵌入任意 JavaScript 代码,从而改变预期功能,可能在受信会话中导致凭据泄露。 CVSS 评分: - 基本评分: 4.4 - 时序评分: 可通过 此处 查看当前评分 受影响的产品及版本: - IBM Business Automation Workflow: V18.0.0.x, V19.0.0.x, V20.0.0.1 - IBM Case Manager: V5.3.x, V5.2.x 修复/缓解措施: - IBM Business Automation Workflow: - V20.0.0.1: 应用 PJ46300 或升级至 V20.0.0.2 及更高版本 - V19.0.0.x: 应用 PJ46300 或升级至 V20.0.0.2 及更高版本 - V18.0.0.x: 升级至 V19.0.0.3 并应用 PJ46300 或升级至 V20.0.0.2 及更高版本 - IBM Case Manager: - V5.3.x: 应用 P46300 或升级至 V5.3.3 并应用 PJ46300 - V5.2.x: 升级至 V5.3.3 并应用 PJ46300 或升级至 V20.0.0.2 及更高版本 变通方法和缓解措施: - 案例包功能默认不在案例页面中启用。因此,如果未使用该功能,不会暴露漏洞。 - 可以禁用案例包功能,改用工作流进程中的案例操作来创建案例包。