漏洞概述
IBM Application Gateway 23.10 至 25.09 版本中存在 HTML 注入漏洞。远程攻击者可注入恶意 HTML 代码,当受害者查看该内容时,恶意代码将在其浏览器中以宿主站点的安全上下文执行,可能导致跨站脚本(XSS)等安全风险。
漏洞详情
- CVE 编号:CVE-2025-36397
- 漏洞类型:HTML 注入(CWE-80)
- CVSS 评分:5.4(中危)
- 影响版本:IBM Application Gateway 23.10 至 25.09
影响范围
该漏洞影响 IBM Application Gateway 23.10 到 25.09 之间的所有版本。使用上述版本的用户若未及时应用安全更新,可能面临 HTML 注入攻击的风险。
风险分析
攻击者可利用此漏洞向 Web 页面中注入恶意 HTML 内容。当其他用户访问受影响页面时,恶意脚本将在其浏览器中执行,可能导致会话劫持、钓鱼攻击或敏感信息泄露等问题。由于漏洞作用域为“已更改”(Scope: Changed),攻击可能影响到与漏洞组件不同的安全域。
修复建议
- 建议用户尽快升级至 IBM 官方发布的安全版本,以修复该漏洞。
- 在无法立即升级的情况下,应限制对 IBM Application Gateway 管理界面的访问,并对用户输入进行严格的过滤与转义处理,以降低被利用的风险。
