关键漏洞信息 漏洞概览 CVE ID: CVE-2019-4120 描述: IBM Cloud Private 存在反射型跨站脚本攻击漏洞,攻击者可利用该漏洞在 Web UI 中嵌入任意 JavaScript 代码,从而篡改功能并可能导致受信任会话中的凭证泄露。 CVSS 评分: - Basic Score: 5.4 - Temporal Score: 详见 CVSS 评分链接 - Environmental Score: 未定义 影响的产品和版本 影响的 IBM Cloud Private 版本: 2.1.x, 3.1.0, 3.1.1, 3.1.2 修复建议 仅针对最近两个Continuous Delivery (CD) 更新包的缺陷修复和安全更新: IBM Cloud Private 3.1.2 IBM Cloud Private 3.1.1 针对 3.1.2 版本,需应用以下补丁: - platform-ui - auth-idp - icp-management-ingress 针对 3.1.1 版本,需应用以下补丁: - platform-ui - auth-idp - icp-management-ingress 针对 2.1.x 和 3.1.0 版本: - 升级到最新 Continuous Delivery (CD) 更新包,即 IBM Cloud Private 3.2 - 如需单个产品修复,在 CD 更新包之间提供,联系 IBM 支持。 缓解措施和替代方案 无 参考资料与历史记录 历史更新记录:首次发布于 2019 年 8 月 4 日,更新于 2019 年 8 月 11 日