AIX路径遍历漏洞CVE-2025-36236技术分析

本文详细分析IBM AIX操作系统NIM服务器中存在的路径遍历漏洞CVE-2025-36236,攻击者可通过特制URL请求实现目录遍历和任意文件写入,CVSS评分8.2分的高危漏洞技术细节和修复方案。

概述

CVE-2025-36236是IBM AIX操作系统中发现的一个高危路径遍历漏洞。

漏洞描述

IBM AIX 7.2、7.3版本以及IBM VIOS 3.1、4.1版本的NIM服务器(原称NIM master)服务(nimesis)存在安全漏洞,可能允许远程攻击者遍历系统目录。攻击者可以发送特制的URL请求,在系统上写入任意文件。

技术详情

漏洞类型:路径遍历(CWE-22)
CVSS评分:8.2(高危)
攻击向量:网络
权限要求:无
用户交互:不需要

受影响产品

  • IBM AIX 7.2
  • IBM AIX 7.3
  • IBM VIOS 3.1
  • IBM VIOS 4.1

解决方案

  1. 应用供应商提供的更新,修复目录遍历和任意文件写入漏洞
  2. 更新NIM服务器至最新推荐版本
  3. 应用所有相关的NIM安全补丁
  4. 限制对NIM服务器的访问

相关攻击模式

  • CAPEC-64:使用斜杠和URL编码组合绕过验证逻辑
  • CAPEC-76:操纵Web输入到文件系统调用
  • CAPEC-78:在替代编码中使用转义斜杠
  • CAPEC-79:在替代编码中使用斜杠
  • CAPEC-126:路径遍历

时间线

  • 发布日期:2025年11月13日
  • 最后修改:2025年11月13日
  • 远程利用:是
  • 信息来源:psirt@us.ibm.com

参考链接

  • IBM安全公告:https://www.ibm.com/support/pages/node/7251173
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次