Bugtraq ID:66679
CVE ID:CVE-2014-0908
IBM Business Process Manager是一款不断积累数据的有状态产品。
IBM Business Process Manager中的User属性功能没有授权概念,允许用户每个用户读取和更新自身的属性值及使用REST API来读取其他用户的值,可导致敏感信息泄漏。
0
IBM Business Process Manager Standard V7.5.x, 8.0.x, 8.5.x
IBM Business Process Manager Express V7.5.x, 8.0.x, 8.5.x
IBM Business Process Manager Advanced V7.5.x, 8.0.x, 8.5.x
目前厂商已经发布了升级补丁以修复漏洞,请下载使用:
https://www-304.ibm.com/support/docview.wss?uid=swg21669330