漏洞概述
IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 在特定版本中存在会话管理缺陷,当用户关闭浏览器后,其会话未被及时注销。该问题可能导致已认证用户在不知情的情况下被其他用户冒用身份,从而引发安全风险。
漏洞详情
- CVE 编号:CVE-2025-36065
- 漏洞类型:会话未正确失效(CWE-613)
- CVSS 评分:6.3(中危)
- 影响版本:IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 5.2.0.00 至 5.2.0.12
影响范围
该漏洞影响 IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 的 5.2.0 系列版本,具体包括从 5.2.0.00 到 5.2.0.12 的所有子版本。使用上述版本的系统若未采取额外会话控制措施,均可能受到此漏洞影响。
风险分析
攻击者可利用该漏洞在用户关闭浏览器但未主动登出的情况下,继续使用其有效会话进行操作。由于漏洞允许在无需用户交互、仅需低权限的前提下实施攻击,可能造成用户身份被冒用,进而导致信息泄露、数据篡改或服务可用性受损等后果。
修复建议
- 建议用户尽快升级至 IBM 官方发布的修复版本,以解决该会话管理问题。
- 在无法立即升级的情况下,可考虑配置 Web 应用服务器或反向代理强制设置会话超时策略,并启用基于活动的会话自动注销机制作为临时缓解措施。
