漏洞概述
IBM ApplinX 11.1 版本中存在跨站脚本(XSS)漏洞。该漏洞允许已认证用户在 Web 管理界面中嵌入任意 JavaScript 代码,从而篡改页面预期功能,可能在受信任的会话中导致凭证信息泄露。
漏洞详情
- CVE 编号:CVE-2025-36409
- 漏洞类型:跨站脚本(XSS)(CWE-79)
- CVSS 评分:5.4(中危)
- 影响版本:IBM ApplinX 11.1
影响范围
该漏洞影响 IBM ApplinX 11.1 版本的 Web 用户界面。任何运行此版本且未应用后续安全修复的系统均可能受到影响。
风险分析
攻击者需具备有效账户权限(低权限即可),并通过诱导其他用户(如管理员)在浏览器中执行恶意脚本,实现跨站脚本攻击。由于漏洞作用域为“已更改”(Scope: Changed),攻击可能影响其他用户会话,造成敏感信息(如会话 Cookie 或凭证)泄露,并破坏 Web 界面的完整性。
修复建议
- 建议用户尽快升级至 IBM 官方发布的安全修复版本或应用相关补丁。
- 在无法立即升级的情况下,可限制对 Web UI 的访问权限,仅允许可信用户操作,并启用内容安全策略(CSP)等缓解措施以降低 XSS 风险。
