云安全日报201230：IBM业务自动化解决方案发现信息泄露漏洞，需要尽快升级

原标题：云安全日报201230：IBM业务自动化解决方案发现信息泄露漏洞，需要尽快升级

IBM Business Automation Workflow软件将业务流程管理和案例管理功能结合到单一的集成式工作流程解决方案中。它将信息流程和用户有机统一起来，提供有关工作的全方位信息，帮助推动实现更成功的业务成果。

12月29日,IBM发布了安全更新,修复了IBM Business Automation Workflow解决方案中发现的一些重要漏洞。以下是漏洞详情：

漏洞详情

来源: https://www.ibm.com/support/pages/node/6378034

1.第三方条目：186425 CVSS评分：8.7 高

jose.4.j库采用Java语言编写并依赖于JCA API实现加密,是一个健壮且易于使用的JSON Web Token（JWT）和JOSE规范套件（JWS、JWE和JWK）的开源实现。jose.4.j库允许远程攻击者获取敏感信息，如果JWK的头参数包含公钥，则这是由于椭圆曲线密钥泄漏造成的。攻击者可以生成私钥/公钥对，并将公钥与签名一起发送，从而导致签名无效。IBM Business Automation Workflow中IBM内容导航组件受此漏洞影响。

2.CVE-2020-4704 CVSS评分：6.4 高

IBM Content Navigator 3.0CD容易受到存储跨站脚本的影响。此漏洞允许用户在Web UI中嵌入任意JavaScript代码，从而更改预期功能，可能导致可信会话中凭据泄露。IBM Business Automation Workflow中IBM内容导航组件受此漏洞影响。

3.CVE-2020-4760 CVSS评分：5.4 中

IBM Content Navigator 3.0CD容易受到跨站脚本的影响。此漏洞允许用户在Web UI中嵌入任意JavaScript代码，从而更改预期功能，可能导致可信会话中凭据泄露。IBM Business Automation Workflow中IBM内容导航组件受此漏洞影响。

4.CVE-2020-4687 CVSS评分：4.3 中

IBM内容导航器3.0.7和3.0.8可以允许经过身份验证的用户查看他们不应该访问的另一个用户的缓存内容。

受影响产品和版本

上述漏洞影响IBM Business Automation Workflow 19.0.0.x和 20.0.0.1版本

解决方案

建议的解决方案是尽快应用包含APAR JR62610的临时修复（iFix）或累积修复（CF）.

对于Business Automation Workflow v19.0.0.x, v20.0.0.1:

根据iFix的要求升级到最低累积修复级别，然后应用iFix JR62610 或者 应用累积修复Business Automation Workflow V20.0.0.2或更高版本

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/