IBM在1月5日发布了六则安全公告，其中涉及的产品包括IBM Cognos Analytics、IBM Security Secret Server、IBM Runtime Environment Java、IBM FTM CPS金融交易管理软件和IBM FTM CHK金融交易管理软件。

这几则安全公告包含8个漏洞，其中高危3个，中危5个，漏洞类型主要为XML注入、权限提升和访问控制问题、信息泄露和跨站脚本。

公告所提及的三个高危漏洞的CVE编号分别为CVE-2018-1721、CVE-2019-4473、CVE-2019-11771。

严格来说，CVE-2018-1721并不是最新披露的漏洞，去年11月初，IBM就曾披露IBM Cognos Analytics 11.0版本和11.1版本受到CVE-2018-1721漏洞的影响。IBM Cognos Analytics是IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等，并可通过分析关键因素与关键人等内容，协助企业调整决策。此次，该漏洞影响了IBM Cognos Analytics 11.1.4版本和11.0.13 FP2版本。远程攻击者可利用该漏洞泄露敏感信息或造成web server向任意域发送HTTP请求。

CVE-2019-4473源于基于AIX平台的IBM SDK，JavaTechnology Edition中的多个二进制文件使用了不安全的绝对RPATHs。IBM SDK,Java Technology Edition是IBM公司的一款用于Java应用程序开发的软件开发工具包。本地攻击者可利用该漏洞注入代码和提升权限。使用IBM Runtime Environment Java 7版本和8版本的IBM FTM CHK金融交易管理软件3.0.0.0版本至3.0.0.15版本、3.0.2.0版本至3.0.2.1版本、3.0.5.0版本至3.0.5.4版本受到该漏洞的影响。

CVE-2019-11771源于程序包含了不用的RPATHS，本地攻击者可利用该漏洞注入代码和提升在系统上的权限。该漏洞影响了使用IBM Runtime Environment Java 7版本和8版本的IBM FTM CHK金融交易管理软件3.0.0.0版本至3.0.0.15版本、3.0.2.0版本至3.0.2.1版本、3.0.5.0版本至3.0.5.4版本受到该漏洞的影响，以及IBM FTM CPS金融交易管理软件3.0.2.0版本至3.0.2.1版本和3.2.1.0版本。

根据IBM发布的公告内容，这些漏洞已得到修复，建议用户尽快下载更新。