IBM企业集成工具曝安全漏洞,可导致数据泄露

本文详细报道了IBM App Connect Enterprise Toolkit等企业集成工具中存在的多个安全漏洞,包括XML外部实体注入漏洞和命令执行漏洞,攻击者可利用这些漏洞窃取数据或执行恶意代码。企业需及时安装安全补丁以防范潜在攻击。

IBM App Connect Enterprise Toolkit存在数据泄露风险

重要安全更新已发布
IBM应用程序管理员出于安全原因应安装最新更新。若不及时更新,攻击者可能入侵系统并执行恶意代码等操作。目前尚未有关于正在进行的攻击报告。

高危漏洞详情
最危险的漏洞(CVE-2025-4949 “严重”)存在于IBM App Connect Enterprise Toolkit和Integration Bus for z/OS Toolkit的Eclipse-JGit组件中。当处理攻击者特制的XML文件时可能导致错误。此类攻击成功时会造成数据泄露或导致服务拒绝(DoS)状态。开发人员表示已在v13 Fix Pack Release 13.0.5.0中修复该安全问题。

中高危漏洞
InfoSphere Information Server存在代码执行漏洞(CVE-2025-36245 “高危”),但攻击者需通过身份验证才能利用此漏洞执行任意命令。

其余漏洞被评定为"中危"级别。攻击者可能通过这些漏洞对WebSphere Application Server发起DoS攻击使其瘫痪。管理员可在相关安全公告中找到关于这些漏洞和安全更新的详细信息。

近期其他修复
IBM开发人员最近还修复了数据分析平台SPSS Analytic Server中的DoS漏洞。

漏洞列表(按威胁等级降序排列)

  • IBM App Connect Enterprise Toolkit和IBM Integration Bus for z/OS Toolkit因Eclipse JGit存在XML外部实体引用限制不当漏洞(CVE-2025-4949)
  • IBM InfoSphere Information Server存在任意命令执行漏洞(CVE-2025-36245)
  • IBM InfoSphere Information Server受Apache Wink漏洞影响(CVE-2010-2245)
  • IBM InfoSphere Information Server受urllib3库多个漏洞影响
  • IBM InfoSphere Information Server受Connect2id Nimbus JOSE + JWT漏洞影响(CVE-2025-53864)
  • IBM InfoSphere Information Server受Apache POI输入验证不当漏洞影响(CVE-2025-31672)
  • IBM InfoSphere Information Server受Apache XML Graphics FOP漏洞影响(CVE-2024-28168)
  • IBM WebSphere Application Server受拒绝服务漏洞影响(CVE-2025-36099)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次