漏洞概述
IBM Application Gateway 23.10 至 25.09 版本中存在跨站脚本(XSS)漏洞。该漏洞允许已认证用户在 Web 管理界面中嵌入任意 JavaScript 代码,从而可能篡改页面功能,并在受信任的会话中导致凭证信息泄露。
漏洞详情
- CVE 编号:CVE-2025-36396
- 漏洞类型:跨站脚本(XSS)(CWE-79)
- CVSS 评分:5.4(中危)
- 影响版本:IBM Application Gateway 23.10 至 25.09
影响范围
所有使用 IBM Application Gateway 23.10 至 25.09 版本的系统均受此漏洞影响,尤其是在启用了 Web UI 功能并允许低权限用户访问的部署环境中。
风险分析
攻击者需具备低权限账户并诱使其他用户(如管理员)与恶意构造的页面进行交互。成功利用该漏洞可导致在受害者浏览器中执行任意脚本,进而窃取会话 Cookie、伪造用户操作或泄露敏感信息,但不会直接导致系统权限提升或服务中断。
修复建议
- 建议用户尽快升级至 IBM 官方发布的安全版本,以修复该 XSS 漏洞。
- 在无法立即升级的情况下,应限制对 Web UI 的访问权限,仅允许可信用户登录,并启用内容安全策略(CSP)等防护机制以缓解 XSS 风险。
