Avisos públicos
Vulnerabilidad de inyección de XXE en WebSphere (CVE-2020-4949)
01 feb. 2021 GMT+08:00
I. Información general
WebSphere ha publicado oficialmente un aviso de seguridad relacionado con una vulnerabilidad de inyección de entidades externas XML (XXE) (CVE-2020-4949) en WebSphere Application Server. Los atacantes pueden aprovechar esta vulnerabilidad para filtrar información sensible.
Si usted es usuario de WebSphere, compruebe su sistema e implemente las mejoras de seguridad de manera oportuna.
Para obtener más información sobre esta vulnerabilidad, visite el siguiente sitio web:
https://www.ibm.com/support/pages/node/6408244
II. Severidad
Severidad: importante
(Severidad: baja, moderada, importante o crítica)
III. Productos afectados
Versiones afectadas:
WebSphere Application Server 9.0
WebSphere Application Server 8.5
WebSphere Application Server 8.0
WebSphere Application Server 7.0
Versiones seguras:
WebSphere Application Server 9.0.5.7 y versiones posteriores
WebSphere Application Server 8.5.5.19 y versiones posteriores
WebSphere Application Server 8.0.0.15 y versiones posteriores
WebSphere Application Server 7.0.0.45 y versiones posteriores
IV. Manejo de la vulnerabilidad
WebSphere 7.0 y 8.0 ya no reciben servicios de soporte completo. Sin embargo, las versiones más recientes (7.0.0.45 y 8.0.0.15) están equipadas con el parche PH31727 que permite rectificar estas vulnerabilidades. Instale la actualización más reciente del sistema y, a continuación, instale el parche para corregir las vulnerabilidades.
Para corregir la vulnerabilidad en la serie WebSphere 8.5, instale el parche PH31727.
Para corregir la vulnerabilidad en la serie WebSphere 9.0, instale el parche PH31727.
Descargue el parche PH31727 de https://www.ibm.com/support/pages/node/6407078.
El servicio WAF de HUAWEI CLOUD ofrece protección contra estas vulnerabilidades. Si usted es usuario de WAF, configure el estado básico de protección web como Block (Bloquear). Para obtener información detallada, consulte la sección Cómo configurar las reglas básicas de protección web.
Nota: Antes de corregir las vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.