关键漏洞信息 漏洞概述 摘要:IBM Cloud Pak System 存在因不当访问控制和通过目录列表暴露信息导致的安全漏洞,分别涉及CVE-2023-38265和CVE-2023-38005。 漏洞详情 CVEID: - CVE-2023-38005 - CVE-2023-38265 描述: - CVE-2023-38005:由于访问控制不当,IBM Cloud Pak System 可能允许已认证用户执行未经授权的任务。 - CVE-2023-38265:IBM Cloud Pak System 可能向未认证攻击者披露文件夹位置信息,助力其进一步攻击系统。 CWE: - CWE-284: Improper Access Control - CWE-548: Exposure of Information Through Directory Listing CVSS评分及向量: - CVE-2023-38005: CVSS Base Score 4.3 (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N) - CVE-2023-38265: CVSS Base Score 5.3 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) 影响的产品和版本 IBM Cloud Pak System: v2.3.3.6, v2.3.3.7, v2.3.4.0, v2.3.4.1, v2.3.5.0 修复措施 强烈建议Intel版用户升级至v2.3.4.1 Interim Fix 1或最新发布的v2.3.6.1。Power版用户请联系IBM支持。 对于不受支持的版本,建议升级/迁移到受支持的版本。 临时解决措施与缓解策略 无特定临时解决方案。