发布日期：2019-06-20
更新日期：2019-06-28

受影响系统：

IBM Business Process Manager 8.6.0.0 CF 2018.03
IBM Business Process Manager 8.6.0.0
IBM Business Process Manager 8.5.7.0 CF 2017.06
IBM Business Process Manager 8.5.7.0 CF 2017.03
IBM Business Process Manager 8.5.7.0 CF 2016.12
IBM Business Process Manager 8.5.7.0
IBM Business Process Manager 8.5.6.0 CF 2
IBM Business Process Manager 8.5.6.0
IBM Business Process Manager 8.5.5.0
IBM Business Process Manager 8.5.0.2
IBM Business Process Manager 8.5.0.0
IBM Business Process Manager 8.5 1
IBM Business Automation Workflow 18.0.0.2
IBM Business Automation Workflow 18.0.0.1
IBM Business Automation Workflow 18.0.0.0

不受影响系统：

IBM Business Automation Workflow 19.0.0.1

描述：

---

BUGTRAQ  ID: 108471
CVE(CAN) ID: CVE-2019-4045

IBM BusinessProcess Manager是一个全面的业务流程管理平台。它提供了一组强大的工具来创作，测试和部署业务流程，以及管理这些业务流程的完全可见性和洞察力。
IBM Business Automation Workflow是一种将业务流程管理和案例管理功能结合在一个集成工作流程解决方案中的软件。
IBM Business Automation Workflow和IBM Business Process Manager 18.0.0.0,18.0.0.1和18.0.0.2提供了嵌入式文档管理功能。由于API中缺少限制，客户端可能会欺骗上次修改的文档值。
攻击者可以利用此问题绕过安全限制并获得对易受攻击系统的未授权访问; 这可能有助于发动进一步的攻击。

<*链接：https://www-01.ibm.com/support/docview.wss?uid=ibm10870494
*>

建议：

---

厂商补丁：

IBM
---
IBM已经为此发布了一个安全公告（IBM 10870494）以及相应补丁:
IBM 10870494：Security Bulletin: Spoofing vulnerability in IBM Business Automation Workflow (CVE-2019-4045)
链接：https://www-01.ibm.com/support/docview.wss?uid=ibm10870494

补丁下载：

浏览次数：1669
严重程度：0（网友投票）