IBM 针对影响其工程需求管理 DOORS Next 软件的两个关键漏洞发布了紧急安全公告。 这两个漏洞被识别为 CVE-2024-41779 和 CVE-2024-41787，存在重大风险，包括远程代码执行和安全绕过。

这两个漏洞的 CVSS 基本分值均为 9.8，对依赖 IBM DOORS Next 和 Rhapsody Model Manager 软件进行工程需求管理和系统设计的组织构成严重风险。 根据 IBM 的公告：

• CVE-2024-41787（Race Condition Servlet）： IBM 工程需求管理 DOORS Next 可能允许远程攻击者绕过安全限制，这是由竞赛条件引起的。 通过发送特制请求，攻击者可利用此漏洞远程执行代码。
• CVE-2024-41779（竞争条件格式漏洞）： IBM Engineering Systems Design Rhapsody – Model Manager 7.0.2 和 7.0.3 可能允许远程攻击者绕过安全限制，这是由于竞赛条件引起的。 通过发送特制请求，攻击者可利用此漏洞远程执行代码。

这些漏洞影响 DOORS Next 7.0.2 和 7.0.3 版本，且没有可用的解决方法或缓解措施。 利用漏洞的可能性突出表明了及时处理这些漏洞的紧迫性。

IBM 强烈建议其用户立即应用所提供的修复程序。 具体操作包括

• 对于 DOORS Next 7.0.2，安装 ifix 32 或更新版本。
• 对于 DOORS Next 7.0.3，安装 ifix 10 或更新版本。

企业可直接从 IBM 的修复中心下载必要的修复程序，确保有效解决这些漏洞。