IBM Cloud PAK sistemindeki birden fazla güvenlik açığı, uzaktan saldırganların HTML enjeksiyon saldırılarını yürütmelerini sağlayarak kullanıcı verilerini ve sistem bütünlüğünü tehlikeye atmasını sağlar.
Son IBM güvenlik bültenlerinde detaylandırılan bu kusurlar, platformun çeşitli sürümlerini etkiler ve kuruluşları siteler arası komut dosyası (XSS) ve prototip kirlilik saldırılarına maruz bırakır.
| CVE kimliği | Tanım | CVSS Puanı |
| CVE-2025-2895 | HTML Enjeksiyonu Kötü amaçlı komut dosyasının yürütülmesini sağlayan enjeksiyon | 5.4 |
| CVE-2020-5258 | Kod enjeksiyonuna izin veren dojo paketinde prototip kirliliği | 7.5 |
Temel güvenlik açıkları ve istismarlar
En kritik güvenlik açıkları şunları içerir:
1. HTML enjeksiyonu (CVE-2025-2895)
- Tanım: Uzak saldırganların kötü niyetli HTML kodu enjekte etmesine izin verir. Görüntülendiğinde, bu kod, barındırma sitesinin güvenlik bağlamında kurbanın tarayıcısında yürütülür.
- CVSS Puanı: 5.4 (orta)
- Darbe: İstemci tarafı komut dosyası yürütme yoluyla oturum kaçırma, veri hırsızlığı ve yetkisiz işlemleri sağlar.
2. Prototip kirliliği (CVE-20120-5258)
- Tanım: Dojo NPM paketini etkiler ve saldırganların JavaScript prototiplerine özellikleri enjekte etmesine izin verir. Bu, uygulama mantığını tehlikeye atar ve kod enjeksiyonunu sağlar.
- CVSS Puanı: 7.5 (yüksek)
- Darbe: Rasgele kod yürütme, veri manipülasyonu ve sistem uzlaşmasına izin verir.
Etkilenen ürünler
| Ürün | Sürümler (güç) | Sürümler (Intel) |
| IBM Cloud Pak Sistemi | 2.3.3.7, 2.3.3.7 IFIX1 | 2.3.3.6, 2.3.3.6 Ifix1 |
| 2.3.5.0 | 2.3.4.0, 2.3.4.1 |
Saldırganlar bu kusurları aşağıdakilerden kullanıyor:
- Patched IBM Cloud PAK örneklerine hazırlanmış yükler göndermek.
- Kimlik bilgilerini veya oturum çerezlerini çalan kötü amaçlı komut dosyaları dağıtmak için html enjeksiyonunu tetikleme.
- Güvenlik kontrollerini geçersiz kılmak ve ayrıcalıkları artırmak için prototip kirliliğinden yararlanmak.
Hafifletme ve yamalar
IBM, aşağıdakileri içeren acil düzeltmeler yayınladı:
- Intel Sistemleri: IBM Fix Central aracılığıyla v2.3.6.0’a yükseltin.
- Güç sistemleri: Yamalar için IBM desteği ile iletişime geçin.
- Desteklenmeyen sürümler: Hemen yamalı sürümlere geçin.
Bu güvenlik açıkları, IBM Cloud PAK ekosistemlerindeki diğer kritik kusurlarla çakışıyor, örneğin:
- CVE-2024-47764: JSHTTP çerez modüllerinde kimlik doğrulama bypass.
- CVE-2024-5535: OpenSSL Buffer Aşırı okunan TLS İletişimi.
IBM, gelişen tehditlere karşı koymak için kapsamlı denetimleri ve gerçek zamanlı izlemeyi vurgular.
IBM Cloud Pak sistemindeki HTML enjeksiyon ve prototip kirliliği güvenlik açıkları, kurumsal bulut altyapısında kritik risklerin altını çizmektedir.
Veri ihlallerini ve operasyonel aksamaları önlemek için hemen yama yapılması esastır. Kuruluşlar, etkilenen sürümleri güncellemeye öncelik vermeli ve maruziyeti azaltmak için katmanlı güvenlik uygulamalarını benimsemelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin