【漏洞通告】WebSphere XML外部实体（XXE）注入漏洞（CVE-2021-20453/CVE-2021-20454）

2021年7月12日19:17:51评论78 views字数 1968阅读6分33秒阅读模式

通告编号:NS-2021-0019

2021-04-22

TAG：	WebSphere、XXE、CVE-2021-20453、CVE-2021-20454
漏洞危害：	攻击者利用此漏洞，可实现XML外部实体注入。
版本：	1.0

漏洞概述

近日，绿盟科技监测到IBM发布安全公告修复了两个WebSphere Application Server XML外部实体（XXE）注入漏洞（CVE-2021-20453/CVE-2021-20454），由于WAS在处理XML数据时容易受到XML外部实体注入（XXE）攻击。远程攻击者可利用漏洞获取敏感信息或消耗内存资源。请相关用户采取措施进行防护。

参考链接：

https://www.ibm.com/support/pages/node/6445171

https://www.ibm.com/support/pages/node/6445481

SEE MORE →

2影响范围

受影响版本

WebSphere Application Server 9.0.0.0 - 9.0.5.7
WebSphere Application Server 8.5.0.0 - 8.5.5.19
WebSphere Application Server 8.0.0.0 - 8.0.0.15
WebSphere Application Server 7.0.0.0 - 7.0.0.45

注：WebSphere Application Server V7.0 和 V8.0官方已停止维护。

不受影响版本

WebSphere Application Server >= 9.0.5.8（预计2021年第二季度发布）
WebSphere Application Server >= 8.5.5.20（预计2021年第三季度发布）

3漏洞检测

3.1 版本检测

相关用户可通过版本检测的方式判断当前应用是否存在风险。

方法一：登录WebSphere管理平台首页查看版本信息。

【漏洞通告】WebSphere XML外部实体（XXE）注入漏洞（CVE-2021-20453/CVE-2021-20454）

若当前使用版本在受影响范围内，则可能存在安全风险。

方法二：进入/opt/IBM/WebSphere/AppServer/bin目录下，执行./versionInfo.sh即可查看当前版本，查看Package日期，如果低于20210125则说明存在安全风险。

./versionInfo.sh

【漏洞通告】WebSphere XML外部实体（XXE）注入漏洞（CVE-2021-20453/CVE-2021-20454）

4漏洞防护

4.1 官方升级

目前官方已发布更新修复了该漏洞，对于已停止维护的版本也提供了安全补丁，请受影响的用户尽快安装进行防护。

1、相关用户可通过IBM Installation Manager进行升级，根据提示进行版本更新、补丁安装。

【漏洞通告】WebSphere XML外部实体（XXE）注入漏洞（CVE-2021-20453/CVE-2021-20454）

2、用户也可至官网手动下载补丁并安装。

CVE-2021-20453：

受影响版本	修复方法	补丁下载链接
9.0.0.0 - 9.0.5.7	根据临时修订要求升级到最低修订包级别，然后下载补丁PH34067	https://www.ibm.com/support/pages/node/6445141
8.5.0.0 - 8.5.5.19	根据临时修订要求升级到最低修订包级别，然后下载补丁PH34067
8.0.0.0 - 8.0.0.15	升级至8.0.0.15 版本，并安装补丁PH34067

CVE-2021-20454：

受影响版本	修复方法	补丁下载链接
9.0.0.0 - 9.0.5.7	根据临时修订要求升级到最低修订包级别，然后下载补丁PH34048	https://www.ibm.com/support/pages/node/6445441
8.5.0.0 - 8.5.5.19	根据临时修订要求升级到最低修订包级别，然后下载补丁PH34048
8.0.0.0 - 8.0.0.15	升级至8.0.0.15 版本，并安装补丁PH34048
7.0.0.0 - 7.0.0.45	升级至7.0.0.45版本，并安装补丁PH34048

注：安装补丁之前请先关闭WebSphere服务，安装完成后再将服务开启。

END

作者：绿盟科技威胁对抗能力部

【漏洞通告】WebSphere XML外部实体（XXE）注入漏洞（CVE-2021-20453/CVE-2021-20454）

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

【漏洞通告】WebSphere XML外部实体（XXE）注入漏洞（CVE-2021-20453/CVE-2021-20454）

绿盟科技安全情报 ∣微信公众号

长按识别二维码，关注网络安全威胁信息

本文始发于微信公众号（绿盟科技安全情报）：【漏洞通告】WebSphere XML外部实体（XXE）注入漏洞（CVE-2021-20453/CVE-2021-20454）

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞通告】WebSphere XML外部实体（XXE）注入漏洞（CVE-2021-20453/CVE-2021-20454）

DataCube3 getting_index_data.php SQL注入漏洞

用友NC Cloud importhttpscer接口存在任意文件上传漏洞

GL.iNet 路由器身份验证绕过漏洞 (CVE-2023-46453)

【漏洞预警】SEMCMS安全漏洞(CVE-2024-30938)

1day分享｜ Geoserver命令执行漏洞

漏洞预警 JEECMS o_upload 文件上传漏洞

用友U9 PatchFile.asmx接口存在任意文件上传漏洞

万户ezOFFICE-wf_printnum.jspSQL注入漏洞-附py

【漏洞预警】Progress Flowmon命令注入漏洞（CVE-2024-2389）

某捷通T KeyInfoList.aspx sql注入-附py

发表评论

在线咨询

微信