据telecompaper网6月10日报道,IBM已采取行动修复其ProcessMining软件中的57个漏洞,企业一直使用这些软件进行工作流分析。
图片来自:telecompaper
这些漏洞是从第三方包FasterXMLjackson-databind携带而来的,该程序包允许将JSON内容读入Java对象和JSON树中。这些漏洞是在2018年至2020年之间报告的,有些漏洞在2019年被甲骨文修补。其中有38个漏洞的常见漏洞评分系统(CVSS)得分为9.8,IBM报告没有已知的变通办法。
大多数最严重的错误都与序列化错误有关,最常见的是影响软件各个组件的“小工具和打字之间的不安全反序列化”。软件组件中还存在“多态类型”问题和反序列化问题。这些漏洞允许攻击者向系统发送精心设计的输入以执行任意代码。
(编译:墨书)
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
