IBM Cloud Automation Manager是美国IBM公司的一套多云自助服务管理平台。该平台支持在多个云中部署云基础架构，能够通过端到端自动化有效地管理和提供服务，同时使开发人员能够构建符合企业策略的应用程序。

11月26日,IBM发布了紧急安全更新,修复了IBM Cloud Automation Manager多云自助服务管理平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

-2020-7720 CVSS评分: 高危

来源:/support/pages/node/

node-forge模块中的一个安全漏洞会影响IBM Cloud Automation Manager。由于函数中的原型污染缺陷， node-forge模块可能允许远程攻击者利用此漏洞，通过发送特制请求在系统上执行任意代码。

-2020-8178 CVSS评分: 高危

来源:/support/pages/node/

Jison模块中的一个安全漏洞会影响IBM Cloud Automation Manager。由于输入验证不足， jison可能允许远程攻击者利用此漏洞，通过发送特制请求在系统上执行任意命令。

-2020-8244 CVSS评分: 高

来源:/support/pages/node/

bl模块中的一个安全漏洞会影响IBM Cloud Automation Manager。 bl模块可能允许远程攻击者获取敏感信息，这是由于消费函数中的缓冲区超读缺陷所致。通过发送特制的参数，攻击者可以利用此漏洞来获取敏感信息，或导致拒绝服务状况。

-2020-7919 CVSS评分: 高

来源:/support/pages/node/

GO中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management Managed Service。Go容易受到拒绝服务的攻击。通过发送格式不正确的证书，远程攻击者可以利用此漏洞导致系统崩溃。

-2020-24553 CVSS评分: 高

来源:/support/pages/node/

GO中的一个安全漏洞会影响IBM Cloud Automation Manager。Golang Go容易受到跨站点脚本的攻击，这是由于CGI / FCGI处理程序对用户提供的输入进行了不正确的验证所致。远程攻击者可以利用此漏洞将恶意脚本注入网页，一旦查看该网页，该网页将在宿主网站的安全上下文内的受害者的Web浏览器中执行。攻击者可能利用此漏洞窃取受害者基于cookie的身份验证凭据。

-2020-7676 CVSS评分: 中

来源:/support/pages/node/

中的一个安全漏洞会影响IBM Cloud Automation Manager。由于对用户提供的输入进行了不正确的验证，容易受到跨站点脚本的攻击。远程攻击者可以利用此漏洞将恶意脚本注入网页，一旦查看该网页，该网页将在宿主网站的安全上下文内的受害者的Web浏览器中执行。攻击者可能利用此漏洞窃取受害者基于cookie的身份验证凭据。

受影响产品和版本

上述漏洞影响IBM Cloud Automation Manager .1版本

解决方案

下载IBM Cloud Automation Manager Version .1 iFix 1 Offline Installation package,安装修复补丁可修复

查看更多漏洞信息 以及升级请访问官网:

/blogs/psirt/