IBM修复了IBM WebSphere Application Server中的两个超危漏洞，远程攻击者可利用这两个漏洞执行任意代码。

今年4月份，网络别名为‘tint0’的安全研究人员发现影响IBM WebSphere ApplicationServer的三个严重的反序列化漏洞。

其中两个漏洞（CVE-2020-4450和CVE-2020-4448）是被评为超危的远程代码执行漏洞，第三个是一个高危信息泄露漏洞。

IBM WebSphere是一个托管基于Java的web应用程序的软件框架和中间件。

该名安全专家在4月中旬通过Trend Micro公司的Zero Day Initiative（ZDI）团队向IBM报告了漏洞，IBM上周公开披露了这些漏洞。

CVE-2020-4450和CVE-2020-4448的CVSS评分都为9.8，它们都是源于软件对用户提交的数据缺少正确的验证，导致反序列化不可信数据。

IBM在CVE-2020-4448的安全公告中写道，“远程攻击者可利用该漏洞在受影响的IBM WebSphere上执行任意代码。利用该漏洞不需要身份认证。”

“该漏洞存在于BroadcastMessageManager类中，源于对用户提交的数据缺少正确的验证，导致反序列化不可信数据。”

CVE-2020-4448存在于BroadcastMessageManager类中，攻击者可利用该漏洞以SYSTEM权限执行任意代码。

CVE-2020-4450存在于对IIOP协议的处理功能中，攻击者可利用该漏洞以root权限执行代码。

攻击者可通过发送一系列特殊构造的序列化对象利用该漏洞。

这两个漏洞影响IBM WebSphere Application Server 8.5和9.0，CVE-2020-4448还影响了WebSphere Virtual Enterprise Edition。

第三个漏洞编号为CVE-2020-4449，影响IIOP反序列化，远程未经身份认证的攻击者可通过发送一系列特殊构造的序列化对象利用该漏洞造成信息泄露。

IBM已经修复了这些漏洞，同时确认尚未有证据证实这些漏洞遭到攻击利用。

本文源自Security Affairs；转载请注明出处。