近日，亞信安全CERT監(jiān)控到IBM發(fā)布安全更新，修復(fù)了IBM WebSphere Application Server中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-23477）。該漏洞源于IIOP協(xié)議上存在反序列化，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者使用特制序列化對(duì)象序列在目標(biāo)服務(wù)器上執(zhí)行任意代碼。

對(duì)此，目前廠(chǎng)商已發(fā)布安全版本。鑒于該漏洞受影響面較大，亞信安全建議使用IBM WebSphere Application Server的用戶(hù)及時(shí)關(guān)注官方更新，參照官方修復(fù)方案盡快采取相關(guān)措施，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

IBM WebSphere Application Server是IBM公司開(kāi)發(fā)的一個(gè)應(yīng)用服務(wù)器軟件，用于支持企業(yè)級(jí)應(yīng)用程序，例如電子商務(wù)，供應(yīng)鏈管理和人力資源管理等。WebSphere Application Server提供了多種特性，包括應(yīng)用程序部署，應(yīng)用程序執(zhí)行，安全性，性能和可擴(kuò)展性等，是一個(gè)功能強(qiáng)大的應(yīng)用服務(wù)器，可以滿(mǎn)足大型企業(yè)的需求。

漏洞編號(hào)和等級(jí)

CVE-2023-23477

CVSS3.1 8.1

漏洞狀態(tài)

漏洞細(xì)節(jié)-未公開(kāi)

PoC-暫無(wú)

EXP-暫無(wú)

在野利用-未發(fā)現(xiàn)

受影響版本

• 8.5.0.0 <= IBM WebSphere Application Server 8.5 <= 8.5.5.19

• 9.0.0.0 <= IBM WebSphere Application Server 9.0 <= 9.0.5.7

修復(fù)建議

官方措施

目前IBM官方已發(fā)布安全版本，建議受影響用戶(hù)盡快下載安裝：