IBM Business Process Manager授权绕过漏洞

Bugtraq ID:66679
CVE ID:CVE-2014-0908

IBM Business Process Manager是一款不断积累数据的有状态产品。

IBM Business Process Manager中的User属性功能没有授权概念，允许用户每个用户读取和更新自身的属性值及使用REST API来读取其他用户的值，可导致敏感信息泄漏。
0
IBM Business Process Manager Standard V7.5.x, 8.0.x, 8.5.x
IBM Business Process Manager Express V7.5.x, 8.0.x, 8.5.x
IBM Business Process Manager Advanced V7.5.x, 8.0.x, 8.5.x
目前厂商已经发布了升级补丁以修复漏洞，请下载使用：
https://www-304.ibm.com/support/docview.wss?uid=swg21669330