IBM 针对影响其工程需求管理 DOORS Next 软件的两个关键漏洞发布了紧急安全公告。 这两个漏洞被识别为 CVE-2024-41779 和 CVE-2024-41787,存在重大风险,包括远程代码执行和安全绕过。这两个漏洞的 CVSS 基本分值均为 9.8,对依赖 IBM DOORS Next 和 Rhapsody Model Manager 软件进行工程需求管理和系统设计的组织构成严重风险。 根据 IBM 的公告:CVE-2024-41787(Race Condition Servlet): IBM 工程需求管理 DOORS Next 可能允许远程攻击者绕过安全限制,这是由竞赛条件引起的。 通过发送特制请求,攻击者可利用此漏洞远程执行代码。CVE-2024-41779(竞争条件格式漏洞): IBM Engineering Systems Design Rhapsody – Model Manager 7.0.2 和 7.0.3 可能允许远程攻击者绕过安全限制,这是由于竞赛条件引起的。 通过发送特制请求,攻击者可利用此漏洞远程执行代码。这些漏洞影响 DOORS Next 7.0.2 和 7.0.3 版本,且没有可用的解决方法或缓解措施。 利用漏洞的可能性突出表明了及时处理这些漏洞的紧迫性。IBM 强烈建议其用户立即应用所提供的修复程序。 具体操作包括对于 DOORS Next 7.0.2,安装 ifix 32 或更新版本。对于 DOORS Next 7.0.3,安装 ifix 10 或更新版本。企业可直接从 IBM 的修复中心下载必要的修复程序,确保有效解决这些漏洞。
