1. 通告信息

近日，安识高新科技A-Team精英团队检测到IBM官方发布通告修补了WebSphere Application Server（WAS）中的一个XML外界实体线引入漏洞（CVE-2020-4949），因为WAS未妥善处理XML数据信息，攻击者能够运用此漏洞远程控制获得网络服务器上的比较敏感信息。存有比较严重的安全风险，安识高新科技提议受影响的客户至IBM官方网站下载安全更新。

2. 漏洞简述

IBM Websphere AS（WebSphere AS）是英国国际商用机器公司（IBM）企业的一个监管Servlet回应情况的服务项目。该服务项目承担监控布署資源实体模型的每一个到达站应用软件网络服务器上的单独 servlet。IBM WebSphere AS 7.0、8.0、8.5、9.0存有WebSphere XML外界实体线引入漏洞，攻击者可运用该漏洞能够向WebSphere AS传送故意XML数据信息，开展XXE进攻，导致文档载入、比较敏感信息泄露等。

3. 漏洞伤害

攻击者可结构故意要求开展XXE进攻，导致文档载入、比较敏感信息泄露。存有巨大的安全风险。

4. 危害版本

漏洞危害的版本包含：

IBM WebSphere Application Server 9.0

IBM WebSphere Application Server 8.5

IBM WebSphere Application Server 8.0

IBM WebSphere Application Server 7.0

5. 解决方法

安识高新科技提议众多客户立即至官方网站升级至全新版本。

6. 时间线

【-】2021年1月 25日IBM官方发布安全补丁

【-】2021年1月28日 安识高新科技A-Team精英团队依据公示剖析

【-】2021年1月28日 安识高新科技A-Team精英团队公布安全性通告