漏洞概述
IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 5.2.0.00 至 5.2.0.12 版本中存在跨站脚本(XSS)漏洞。该漏洞允许未经身份验证的攻击者在 Web 管理界面中嵌入任意 JavaScript 代码,从而篡改页面功能,可能在用户受信任的会话中导致凭据泄露。
漏洞详情
- CVE 编号:CVE-2025-36066
- 漏洞类型:跨站脚本(XSS)— CWE-79
- CVSS 评分:6.1(中危)
向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N - 影响版本:IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 5.2.0.00 至 5.2.0.12
影响范围
该漏洞影响 IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 的 5.2.0 系列版本,具体包括从 5.2.0.00 到 5.2.0.12 的所有子版本。运行上述版本且未应用安全修复的系统均可能受到攻击。
风险分析
攻击者可利用此 XSS 漏洞,在受害者访问受影响的 Web UI 时执行恶意脚本。由于漏洞存在于管理界面,若管理员或具有权限的用户被诱导访问恶意构造的页面,可能导致会话 Cookie、认证凭据等敏感信息被窃取,进而引发账户接管或进一步横向渗透。虽然攻击需要用户交互(如点击链接),但结合社会工程手段,实际利用风险较高。
修复建议
- 建议用户尽快升级至 IBM 官方发布的安全修复版本。请参考 IBM 安全公告获取最新补丁和升级指南。
- 在无法立即升级的情况下,可考虑限制对 Web 管理界面的外部访问,仅允许可信 IP 地址连接,并对用户进行安全意识培训,避免点击不可信链接。
