CVE-2025-13148: IBM Aspera Orchestrator 中的 CWE-620 未经验证的密码更改

严重性: 高 类型: 漏洞

CVE-2025-13148 IBM Aspera Orchestrator 4.0.0 至 4.1.0 版本可能允许已认证用户在无需事先知晓该用户密码的情况下更改其他用户的密码。

AI分析

技术摘要 CVE-2025-13148 是在 IBM Aspera Orchestrator 4.0.0 至 4.1.0 版本中发现的一个漏洞，允许已认证用户无需知晓目标用户当前密码即可更改其密码。此漏洞归类于 CWE-620，涉及未经验证的密码更改。该缺陷的出现是因为应用程序在允许密码更新之前没有正确验证当前密码，从而使任何拥有低权限的已认证用户能够通过劫持其他用户账户来提升其访问权限。CVSS 3.1 基础评分 8.1 反映了对机密性和完整性的高影响，其攻击向量为网络，攻击复杂度低，且无需用户交互。该漏洞不影响可用性。尽管目前尚未有公开的漏洞利用报告，但考虑到在企业环境中可能导致的未授权访问和横向移动，风险非常高。IBM Aspera Orchestrator 广泛用于管理和自动化高速文件传输，常见于需要安全数据交换的行业，如媒体、金融和政府领域。缺少补丁链接表明修复可能需要供应商介入或配置更改。组织应注意，任何已认证用户，包括拥有最低权限的用户，都可能利用此漏洞危害其他账户，可能导致数据泄露或未授权的系统控制。

潜在影响 对于欧洲的组织而言，此漏洞对通过 IBM Aspera Orchestrator 管理的敏感数据的机密性和完整性构成严重威胁。未经授权的密码更改可能导致账户被接管，使攻击者能够访问、修改或外泄关键文件，并编排恶意工作流。这种风险在媒体制作、金融服务和政府机构等 Aspera Orchestrator 常用于安全文件传输的领域尤为严峻。用户账户的泄露可能有助于在网络内进行横向移动，增加了发生更广泛泄露的可能性。该漏洞的网络可访问性和低利用复杂度意味着网络内部的攻击者或凭据被盗的攻击者可以快速提升权限。鉴于欧洲（尤其是在拥有大型企业 IT 部门的国家）对 IBM 软件的高度依赖，如果不及时处理，影响可能很广泛。此外，GDPR 等监管框架对数据保护有严格要求，利用此漏洞可能导致重大的合规违规和经济处罚。

缓解建议 为缓解 CVE-2025-13148，欧洲的组织应立即将 IBM Aspera Orchestrator 接口的访问权限限制在仅限受信任的人员，最好通过网络分段和 VPN 实现。实施严格的基于角色的访问控制（RBAC），以限制已认证用户执行密码更改或管理操作的能力。监控日志中是否有异常的密码更改活动，并设置针对异常行为的警报。在官方补丁发布之前，如果可行，请考虑为非管理用户禁用密码更改功能。采用多因素认证（MFA）以降低凭据被盗被利用的风险。定期对用户账户和权限进行全面审计，以检测未经授权的修改。与 IBM 支持部门联系，获取有关变通方案或即将发布的补丁的指导。最后，对用户进行风险教育，并鼓励及时报告可疑的账户活动。

受影响国家 德国、英国、法国、荷兰、意大利、西班牙、瑞典、比利时

来源: CVE Database V5 发布日期: 2025年12月11日 星期四