漏洞概述
IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 版本 5.2.0.00 至 5.2.0.12 存在跨站脚本(XSS)漏洞。该漏洞允许经过身份验证的用户在 Web 管理界面中嵌入任意 JavaScript 代码,从而篡改页面功能,可能在受信任的会话中导致凭据泄露。
漏洞详情
- CVE 编号:CVE-2025-36113
- 漏洞类型:跨站脚本(XSS)(CWE-79)
- CVSS 评分:5.4(中危)
- 影响版本:IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 5.2.0.00 至 5.2.0.12
影响范围
该漏洞影响 IBM Sterling Connect:Express Adapter for Sterling B2B Integrator 的 5.2.0.00 到 5.2.0.12 版本。使用上述版本的用户若启用了 Web UI 功能,则可能受到此 XSS 漏洞的影响。
风险分析
攻击者需具备低权限账户并诱使其他用户(如管理员)与其交互(例如点击恶意链接),即可在受害者浏览器中执行任意脚本。由于漏洞作用域为“已更改”(Scope: Changed),攻击可能影响其他组件或会话,造成敏感信息(如会话 Cookie 或凭证)泄露,进而可能导致权限提升或进一步横向移动。
修复建议
- 建议用户尽快升级至 IBM 官方发布的安全版本,以修复该 XSS 漏洞。
- 在无法立即升级的情况下,可限制对 Web UI 的访问权限,仅允许可信用户访问,并启用内容安全策略(CSP)等防护机制以缓解 XSS 风险。
