漏洞概述
IBM Aspera Console 3.4.7 版本在日志文件中存储了潜在的敏感信息,本地高权限用户可能读取这些日志,从而导致信息泄露。该漏洞已被分配 CVE 编号 CVE-2025-13925,CVSS 评分为 4.9(中危)。
漏洞详情
- CVE 编号:CVE-2025-13925
- 漏洞类型:敏感信息通过日志文件泄露(CWE-532)
- CVSS 评分:4.9(中危)
- 影响版本:IBM Aspera Console 3.4.7
影响范围
该漏洞影响 IBM Aspera Console 3.4.7 版本。攻击者需具备本地高权限(如系统管理员或具有等效权限的用户)才能访问包含敏感信息的日志文件。
风险分析
虽然该漏洞不支持远程利用,但本地高权限用户可读取日志文件中的敏感数据,可能导致凭证、配置信息或其他机密内容泄露,进而被用于进一步的权限提升或横向移动攻击。
修复建议
- 建议用户升级至 IBM 官方发布的安全版本,以修复该日志敏感信息泄露问题。
- 在无法立即升级的情况下,可限制对日志文件的访问权限,仅允许必要用户读取,并定期审查日志内容以移除敏感信息。
