近日,亚信安全CERT监控到IBM发布安全更新,修复了IBM WebSphere Application Server中的一个远程代码执行漏洞(CVE-2023-23477)。该漏洞源于IIOP协议上存在反序列化,允许未经身份验证的远程攻击者使用特制序列化对象序列在目标服务器上执行任意代码。
对此,目前厂商已发布安全版本。鉴于该漏洞受影响面较大,亚信安全建议使用IBM WebSphere Application Server的用户及时关注官方更新,参照官方修复方案尽快采取相关措施,做好资产自查以及预防工作,以免遭受黑客攻击。
IBM WebSphere Application Server是IBM公司开发的一个应用服务器软件,用于支持企业级应用程序,例如电子商务,供应链管理和人力资源管理等。WebSphere Application Server提供了多种特性,包括应用程序部署,应用程序执行,安全性,性能和可扩展性等,是一个功能强大的应用服务器,可以满足大型企业的需求。
漏洞编号和等级
CVE-2023-23477
CVSS3.1 8.1
漏洞状态
漏洞细节-未公开
PoC-暂无
EXP-暂无
在野利用-未发现
受影响版本
8.5.0.0 <= IBM WebSphere Application Server 8.5 <= 8.5.5.19
9.0.0.0 <= IBM WebSphere Application Server 9.0 <= 9.0.5.7
修复建议
官方措施
目前IBM官方已发布安全版本,建议受影响用户尽快下载安装: