云安全日报201102：IBM数据分析应用发现任意文件

IBM i2 iBase是美国IBM公司的一款数据分析应用。该软件提供灵活的数据获取方式以及提供可视化工具进行数据分析。不过根据IBM 10月30安全公告显示，IBM i2 iBase 8.9.13 版本存在安全漏洞，这些漏洞会导致敏感信息泄露或允许攻击者上传任意可执行文件，可导致任意代码执行，需要尽快升级。以下是漏洞详情

漏洞详情

来源

https://.ibm./support/pages/node/6357037

1.CVEID: CVE-2020-4588 CVSS评分7.7 高

该漏洞主要是由于iBase文件上传不限制要上传的文件类型导致的。可能允许攻击者上传任意可执行文件，当这些文件由毫无戒心的受害者执行时，可能会导致任意代码执行。

来源

https://.ibm./support/pages/node/6357065

2.CVEID: CVE-2020-4584 CVSS评分 3.3 中低

当浏览器中返回详细的技术错误消息时，IBM i2 iBase可能允许远程攻击者获取敏感信息。这些信息可用于对系统的进一步攻击。

受影响产品和版本

IBM i2 iBase 8.9.13及之前所有版本

解决方案

IBM已经发布升级修复补丁

iBase 9中已解决上述问题。建议参考Passport Advantage帐户进行升级

查看更多漏洞信息 以及升级请访问官网

https://.ibm./blogs/psirt/