发布日期：2021-09-29
更新日期：2021-10-19

受影响系统：

IBM Business Process Manager 8.6
IBM Business Process Manager 8.5
IBM Business Automation Workflow 21.0
IBM Business Automation Workflow 20.0
IBM Business Automation Workflow 19.0
IBM Business Automation Workflow 18.0

描述：

---

CVE(CAN) ID: CVE-2021-29834

IBM Business Process Manager（BPM）和IBM Business Automation Workflow都是美国IBM公司的产品。IBM Business Process Manager是一套综合的业务流程管理平台。该平台为业务的流程建模、组装、监控和部署提供了一系列的相关工具。IBM Business Automation Workflow是一套工作流程自动化解决方案。该产品主要用于工作流程管理、合规性管理，并具有工作流程可见性和可扩展等特点。
多款IBM产品存在跨站脚本漏洞。攻击者可利用该漏洞在Web UI中嵌入任意JavaScript代码，从而改变预期功能，这可能导致可信会话中凭据泄露。

<*链接：https://www.ibm.com/support/pages/node/6493271
*>

建议：

---

厂商补丁：

IBM
---
IBM已经为此发布了一个安全公告（6493271）以及相应补丁:
6493271：Security Bulletin: Cross-Site Scripting vulnerability affect IBM Business Automation Workflow and IBM Business Process Manager (BPM) - CVE-2021-29834
链接：https://www.ibm.com/support/pages/node/6493271

浏览次数：774
严重程度：0（网友投票）