●概述：
CA Technologies前身為組合國際電腦股份有限公司(Computer Associates Inc)，就大型機(mainframe)、分散式、虛擬化、雲端運算等異質IT環境，研發管理和保護技術方案，供應自動化及負載平衡相關服務，經分析三款特定軟體，計有9項中、高風險缺陷，系統恐受遠端攻擊，例PPM因輸入值過濾欠佳，易遭XSS與SQL隱碼攻擊，且XOG功能模組處理特製XML外部entity時，恐讓駭客伺機發動請求偽冒並觸及機敏資訊，另SSL密碼以明文無保護方式儲存；至於版本部署工具Release Automation則因物件反序列化錯誤而導致任意程式碼執行事件；負責基礎架構一致性的UIM，竟內建hard coded長密碼詞組與secret key，且對於檔案存取行為疏於身分認證，危及帳號安全和資料完整性；CA公司已釋出對應修補方式，使用上述產品之企業宜檢視安裝版本及修補進度。
●編註：
(1)專案卷宗管理(PPM)
Project & Portfolio Management(PPM)前身為CA Clarity PPM，經分經析有數項漏洞：
(1-1) XOG功能模組處理XML外部entity資料時出現異常，駭客可藉此製作server端的請求偽冒攻擊，亦可接觸機敏資訊。
(1-2)因gridExcelExport功能無法妥善檢驗輸入值，攻擊者能發動反映式cross-site scripting攻擊。
(1-3)同樣是輸入參數值過濾瑕疵，恐引發遠端SQL injection。
(1-4)囿於SSL密碼未受保護，直接以明文方式儲存，形成管理資訊外流隱憂。
(2)版本自動化工具(Release Automation)
在Release Automation軟體運作時，物件反序列化過程失當，只要接收處理惡意變造檔案，可觸發運算錯誤而衍生RCE事件。
(3)聯合架構管理(UIM)
研究指出Unified Infrastructure Management既有弱點，讓身處UIM所在網段之駭客，能在UIM探測器運作之主機設備，恣意執行UIM指令，原因如下：
(3-1)寫死密碼詞組，固定不變的密碼，詞組長度也不能保障安全。
(3-2)寫死secret key，遲早會被逆向工程破解，或者用來比對hash值，而逐一測試出用戶帳密。
(3-3)缺乏身分驗證，攻擊者能輕鬆進行檔案讀寫等操作。