企业资料通过认证
IBM Maximo Asset Management是美国IBM公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产,如设施、交通运输等,并对这些资产实现单点控制。10月15日,IBM发布安全公告,上海豫开电力科技有限公司,IBM Maximo 企业资产管理软件发现执行任意代码高危漏洞,需要尽快升级。以下是漏洞详情:
Jackson JSON库可能允许远程攻击者在系统上执行任意代码,这是由ObjectMapper的readValue()方法中的反序列化缺陷引起的。通过发送特制数据,攻击者可以利用此漏洞在系统上执行任意代码。
由于默认键入功能的缺陷,Jackson-databind可能允许远程攻击者在系统上执行任意代码。攻击者可能利用此漏洞在系统上执行任意代码。
Apache Struts可能允许远程攻击者在系统上执行任意代码,这是由ObjectMapper的readValue方法中Jackson JSON库中的反序列化漏洞引起的。通过发送特制请求,攻击者可以利用此漏洞在系统上执行任意代码。
jackson -dataformat -xml容易受到服务器端请求伪造的影响,这是由XmlMapper中的缺陷引起的。通过使用与DTD相关的媒介,攻击者可以利用此漏洞进行SSRF攻击(Server-side Request Forge, 服务端请求伪造,由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务)。
此漏洞影响以下版本的IBM Maximo Asset Management核心产品。建议的操作是更新到最新版本。