IBM Tivoli Netcool/OMNIbus是IBM公司运营管理软件,主要对业务应用、网络设备、Internet 协议和安全设备提供了集中式的管理。IBM Tivoli Netcool/OMNIbus WebGUI是IBM公司的一款用于IBM Tivoli Netcool/OMNIbus服务级别管理系统的图形用户界面。

3月22日,IBM发布了安全更新,修复了IBM Tivoli Netcool/OMNIbus WebGUI中发现的执行任意代码等漏洞。以下是漏洞详情：

漏洞详情

来源: https://www.ibm.com/support/pages/node/6427953

1.CVE-2020-17530 CVSS评分：8.1 严重程度:重要

Apache Struts可能允许远程攻击者在系统上执行任意代码，这是由对标签属性中原始用户输入的强制双重OGNL评估引起的。通过发送特制数据，攻击者可以利用此漏洞在系统上执行任意代码。

2.CVE-2021-20336 CVSS评分：6.4 严重程度:高

IBM Tivoli Netcool / OMNIbus_GUI容易受到存储的跨站点脚本的攻击。此漏洞允许用户在Web UI中嵌入任意JavaScript代码，从而更改预期的功能，从而可能导致可信会话中的凭据泄露。

受影响的产品和版本

上述漏洞影响 IBM Tivoli Netcool / OMNIbus_GUI 8.1.x版本

解决方案

IBM官方已发布更新补丁,对于Tivoli Netcool / OMNIbus WebGUI应用WebGUI 8.1.0 Fix Pack 22即可修复

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/