漏洞关键信息 漏洞概述 CVE ID: CVE-2016-0349 漏洞描述: 由于未经授权的授权更新流程实例变量,未经授权的用户可以更新IBM Business Process Manager中的流程实例变量。 漏洞详情: IBM Business Process Manager允许经过身份验证的用户调用REST API进行不正确的授权检查,从而更新流程实例变量。 影响的软件版本 IBM Business Process Manager V8.5.7 IBM Business Process Manager V8.5.6 到 V8.5.6.0 累积修复 2 CVSS评分信息 CVSS Base Score: 4.3 CVSS Temporary Score: 当前分数见 链接 CVSS Environmental Score: 未定义 修复措施 安装适用于APAR JR55701 的临时修复,根据当前IBM Business Process Manager版本的需要。 工作区和缓解措施 无 关键提示 IBM 强烈建议所有System z客户订阅System z安全端口,以接收最新的关键System z安全和完整服务。 参考信息 CVSS v2 全面指南 在线计算器 v2 CVSS v3 全面指南 在线计算器 v3 相关信息 IBM 安全工程网站 IBM 产品安全事件响应博客