漏洞概述
IBM Business Automation Workflow 容器在特定版本中存在敏感配置信息泄露问题。该漏洞可能导致本地低权限用户访问包含敏感信息的 ConfigMap,从而造成信息泄露风险。该漏洞已分配 CVE 编号 CVE-2025-36058,CVSS 评分为 5.5(中危)。
漏洞详情
- CVE 编号:CVE-2025-36058
- 漏洞类型:敏感信息泄露(CWE-538:文件和目录信息泄露)
- CVSS 评分:5.5(中危),向量:CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
- 影响版本:IBM Business Automation Workflow 容器 25.0.0 至 25.0.0 Interim Fix 002、24.0.1 至 24.0.1 Interim Fix 005、24.0.0 至 24.0.0 Interim Fix 006;同时影响 IBM Cloud Pak for Business Automation 相关容器版本。
影响范围
该漏洞影响运行上述受影响版本的 IBM Business Automation Workflow 容器环境,尤其是在 Kubernetes 或 OpenShift 等容器编排平台中部署的实例。若攻击者具备本地低权限访问能力,可能读取包含敏感配置信息的 ConfigMap。
风险分析
由于漏洞允许本地低权限用户读取高敏感度的配置信息(如凭证、密钥或内部网络配置),攻击者可利用这些信息进一步发起横向移动、权限提升或针对其他系统的攻击。虽然该漏洞不直接导致远程代码执行或服务中断,但其信息泄露风险可能显著扩大整体攻击面。
修复建议
- 建议用户尽快升级至 IBM 官方发布的最新修复版本,具体补丁信息请参考 IBM 安全公告。
- 在无法立即升级的情况下,应限制对容器环境的本地访问权限,并审查 ConfigMap 中是否包含敏感数据,必要时通过加密或外部密钥管理服务(如 HashiCorp Vault 或 Kubernetes Secrets)进行保护。
