IBM WebSphere Application Server（WAS）是一種高性能的Java應(yīng)用服務(wù)器，可用于構(gòu)建、運行、集成、保護和管理內(nèi)部部署和外部部署的動態(tài)云和Web應(yīng)用。它不僅能夠確保高性能和靈活性，還提供多種開放標(biāo)準(zhǔn)編程模型選項，旨在最大程度提高開發(fā)人員的生產(chǎn)力。它可提供靈活先進的性能、冗余和編程模型。


對此，四川無國界建議廣大用戶及時將WebSphere Application Server升級到最新版本。與此同時，請做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

一、WAS XML漏洞詳情

1、CVE-2021-20453: XML外部實體注入漏洞

在處理XML數(shù)據(jù)時，IBM WebSphere Application Server容易受到XML外部實體注入（XXE）攻擊。遠程攻擊者可利用此漏洞來泄露敏感信息或消耗內(nèi)存資源。

CVE ID： CVE-2021-20453
組件： WebSphere Application Server
CVSS 評分：8.2
漏洞類型：XML外部實體注入
評級與影響：高危漏洞，易導(dǎo)致敏感信息泄漏、內(nèi)存資源消耗

2、CVE-2021-20454: XML外部實體注入漏洞

在處理XML數(shù)據(jù)時，IBM WebSphere Application Server容易受到XML外部實體注入（XXE）攻擊。遠程攻擊者可利用此漏洞來泄露敏感信息或消耗內(nèi)存資源。

CVE ID： CVE-2021-20454
組件：WebSphere Application Server
CVSS 評分：8.2
漏洞類型：XML外部實體注入
評級與影響：高危漏洞，易導(dǎo)致敏感信息泄漏、內(nèi)存資源消耗

二、WAS XML漏洞影響版本：WebSphere Application Server: 7.0、8.0、8.5、9.0

影響版本	CVE-2021-20454	CVE-2021-20453
WebSphere Application Server	9.0	9.0
WebSphere Application Server	8.5	8.5
WebSphere Application Server	8.0	8.0
WebSphere Application Server	7.0

三、WAS XML漏洞臨時修補建議

1、CVE-2021-20454

V9.0.0.0至9.0.5.7：根據(jù)臨時修訂要求升級到最低修訂包級別，然后下載補丁PH34048
V8.5.0.0到8.5.5.19：根據(jù)臨時修訂要求升級到最低修訂包級別，然后下載補丁PH34048
V8.0.0.0到8.0.0.15：升級到8.0.0.15，然后下載補丁PH34048對于V7.0.0.0到7.0.0.45：升級到7.0.0.45，然后下載補丁PH34048

2、CVE-2021-20453

V9.0.0.0至9.0.5.7：根據(jù)臨時修訂要求升級到最低修訂包級別，然后下載補丁PH34067
V8.5.0.0到8.5.5.19：根據(jù)臨時修訂要求升級到最低修訂包級別，然后下載補丁PH34067
V8.0.0.0到8.0.0.15：升級到8.0.0.15，然后下載補丁PH34067

四、通告來源

1、 CVE-2021-20453漏洞通告：https://www.ibm.com/support/pages/node/6445171
2、 CVE-2021-20454漏洞通告：https://www.ibm.com/support/pages/node/6445481