漏洞概述
IBM ApplinX 11.1 版本中存在一个存储型跨站脚本(Stored XSS)漏洞。该漏洞允许经过身份验证的用户在 Web 管理界面中嵌入任意 JavaScript 代码,从而可能篡改页面功能,并在受信任的会话中导致凭据泄露等安全风险。
漏洞详情
- CVE 编号:CVE-2025-36408
- 漏洞类型:存储型跨站脚本(Stored Cross-Site Scripting, CWE-79)
- CVSS 评分:6.4(中危),CVSS 向量:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
- 影响版本:IBM ApplinX 11.1
影响范围
该漏洞影响 IBM ApplinX 11.1 版本。任何部署并使用该版本 Web UI 的系统均可能受到此漏洞的影响,前提是攻击者拥有有效的认证凭据。
风险分析
由于该漏洞属于存储型 XSS,攻击者可将恶意脚本持久化注入到 Web 应用中。当其他用户(包括管理员)访问受影响页面时,恶意脚本将在其浏览器中执行,可能导致会话令牌窃取、账号接管或敏感信息泄露。虽然攻击需要低权限账户作为前提,但因作用域(Scope)为“已更改”,其影响可扩展至其他组件或用户,因此具备一定的横向危害能力。
修复建议
- 建议用户尽快联系 IBM 官方获取安全更新或升级至已修复该漏洞的后续版本。
- 在官方补丁发布前,应限制对 Web UI 的访问权限,仅允许可信用户操作,并启用内容安全策略(CSP)等缓解措施以降低 XSS 风险。
