漏洞概述
IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 在 5.2.0.00 至 5.2.0.12 版本中存在会话管理缺陷,用户注销后未正确使会话失效,可能导致已认证用户在系统中被他人冒用身份。
漏洞详情
- CVE 编号:CVE-2025-36063
- 漏洞类型:会话失效不当(CWE-613)
- CVSS 评分:6.3(MEDIUM)
- 影响版本:IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 5.2.0.00 至 5.2.0.12
影响范围
该漏洞影响使用 IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 5.2.0 系列(从 5.2.0.00 到 5.2.0.12)的所有部署环境。攻击者需具备低权限账户访问能力,即可在特定条件下利用此问题维持或劫持有效会话。
风险分析
由于系统在用户注销后未使会话令牌失效,攻击者可能通过重用会话标识符冒充合法用户,从而获得对系统的未授权访问。该漏洞可导致信息泄露、数据篡改等后果,CVSS 向量显示其影响范围为机密性、完整性和可用性均受到低程度影响(C:L/I:L/A:L)。
修复建议
- 建议用户尽快升级至 IBM 官方发布的安全版本,以修复该会话管理缺陷。
- 在无法立即升级的情况下,应加强会话监控与日志审计,并限制低权限账户的网络访问范围,以降低潜在风险。
