IBM WebSphere Application Server(WAS)是美国IBM公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是JavaEE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。不过根据9月17日IBM安全公告显示，该产品爆出重要漏洞，需要尽快升级。以下是漏洞详情：

　　漏洞详情

　　CVEID：CVE-2020-4643 CVSS评分：7.5 高

　　来源：

　　https://www.ibm.com/support/pages/node/6334311

　　WebSphere Application Server容易受到信息泄露漏洞的攻击。在处理XML数据时，IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。

　　外部实体注入(XXE)攻击

　　XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。XML外部实体注入(XXE)，通过DTD外部实体声明，输入恶意代码，进行攻击。攻击者利用此漏洞可以读取任意文件，执行系统命令，攻击内网网站等。

　　受影响产品和版本

　　此漏洞影响WebSphere Application Server 9.0 , 8.5 , 8.0 , 7.0 版本

　　解决方案

　　对于传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition：

　　对于V9.0.0.0到9.0.5.5：

　　根据临时修订要求升级到最低修订包级别，然后应用临时修订PH27509或应用修订包9.0.5.6或更高版本(目标可用性4Q2020)。

　　对于V8.5.0.0到8.5.5.17：

　　根据临时修订要求升级到最低修订包级别，然后应用临时修订 PH27509-

　　或应用修订包8.5.5.19或更高版本(目标可用性1Q2021)。

　　对于V8.0.0.0到8.0.0.15：

　　升级到8.0.0.15，然后应用Interim Fix PH27509

　　对于V7.0.0.0到7.0.0.45：

　　升级到7.0.0.45，然后应用临时修订PH27509

　　这里需要注意的是：WebSphere Application Server V7.0和V8.0不再完全受支持。IBM建议升级到该产品的受支持的修复版本/发行版/平台。

　　查看更多漏洞信息 以及升级请访问官网：

　　https://www.ibm.com/blogs/psirt/