IBM WebSphere Application Server目录遍历漏洞（CVE-2021-20354）

2021年2月20日，我国网络安全企业安天公司发布了关于IBM WebSphere Application Server组件中存在目录遍历漏洞的漏洞通报。攻击者可以通过向存在漏洞的服务器发送预先构造好的URL请求来查看目标系统上的任意文件。利用该漏洞，攻击者还能够直接访问或下载受保护的站点文件，由此造成目录遍历和敏感数据泄露的风险。该漏洞编号为CVE-2021-20354，漏洞等级：中危。研究人员表示，全球有几十万台服务器部署了该平台，可能受漏洞影响的设备广泛分布于世界各地， 目前，IBM官方已发布安全补丁，修复了该漏洞。该漏洞的漏洞利用方式十分简单，仅仅需要向存在漏洞的服务器发送预先构造好的URL请求就能够触发漏洞，同时影响范围遍布世界各国，因此具有较大的威胁。我国用户尤其是以WAS平台为基础的重要信息系统和关键信息基础设施运维单位应尽快安装漏洞补丁程序并进行排查测试。