漏洞概述
IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 在 5.2.0.00 至 5.2.0.12 版本中存在安全缺陷,系统在会话使用后未使会话 ID 失效,可能导致已认证用户冒充其他用户,造成权限提升或信息泄露等风险。
漏洞详情
- CVE 编号:CVE-2025-36115
- 漏洞类型:会话固定(CWE-384)
- CVSS 评分:6.3(中危)
- 影响版本:IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 5.2.0.00 至 5.2.0.12
影响范围
该漏洞影响 IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 的 5.2.0.00 到 5.2.0.12 所有版本。部署了上述版本的系统若未采取缓解措施,可能受到会话劫持或用户身份冒用攻击。
风险分析
攻击者需具备低权限账户(PR:L),但无需用户交互(UI:N)即可通过网络(AV:N)利用该漏洞。成功利用后,攻击者可读取、修改部分数据或执行有限操作,对系统的机密性、完整性和可用性均造成低级别影响(C:L/I:L/A:L)。虽然不直接导致远程代码执行,但可能被用于横向移动或权限提升。
修复建议
- 建议用户尽快升级至 IBM 官方发布的安全版本,以修复该会话管理缺陷。
- 在无法立即升级的情况下,可考虑加强会话管理策略,例如强制会话超时、限制会话重用,并监控异常登录行为作为临时缓解措施。
