Yakın zamanda açıklanan ve CVE-2024-49785 olarak tanımlanan bir güvenlik açığı, IBM Cloud Pak for Data ile entegrasyonu da dahil olmak üzere IBM watsonx.ai’de bulundu.
Bu güvenlik açığı, kullanıcıları siteler arası komut dosyası çalıştırma (XSS) saldırılarına maruz bırakarak hassas bilgilerin tehlikeye atılmasına neden olur.
IBM Watsonx.ai Güvenlik Açığı
Sorun, IBM watsonx.ai’nin Web kullanıcı arayüzündeki hatalı giriş nötrleştirmesinden kaynaklanmaktadır. Kimliği doğrulanmış kullanıcılar, uygulama arayüzüne rastgele JavaScript kodu eklemek için bu kusurdan yararlanabilir.
Bu, amaçlanan işlevselliği değiştirebilir ve güvenilir bir oturumda kimlik bilgilerinin ifşa edilmesine yol açabilir.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Güvenlik açığı, CWE-79 (Web Sayfası Oluşturma Sırasında Girdilerin Uygunsuz Şekilde Etkisizleştirilmesi) kapsamında sınıflandırılmıştır ve orta şiddette olduğunu belirten 5,4 CVSS Temel Puanına sahiptir.
Etkilenen Ürünler ve Sürümler
| Ürün | Sürüm(ler) |
| Veriler için Cloud Pak üzerinde IBM watsonx.ai | 4.8 – 5.0.3 |
| IBM watsonx.ai | 1.1 – 2.0.3 |
IBM, riski azaltmak için kullanıcılara aşağıdaki sabit sürümlere yükseltme yapmalarını önemle tavsiye eder:
| Ürün | Sabit Sürüm(ler) |
| IBM Software Hub’da IBM watsonx.ai | 5.1.0 ve üzeri |
| IBM watsonx.ai | 2.1.0 ve üzeri |
IBM, tüm müşterilerinin, güvenlik güncellemeleri ve ürün destek bültenleriyle ilgili zamanında uyarı almak için “Bildirimlerim”e abone olmalarını tavsiye eder.
Ayrıca kullanıcılar daha fazla rehberlik için IBM’in Güvenli Mühendislik Web Portalı ve Ürün Güvenliği Olay Müdahale Bloguna başvurabilirler.
Bu güvenlik açığı 10 Ocak 2025’te açıklandı ve uzaktan kullanılabilir ve başarılı bir şekilde yararlanılabilmesi için bir miktar kullanıcı etkileşimi gerektirir.
Sistemlerinizin yükseltilmesi ve güvenliğinin sağlanmasına ilişkin daha fazla ayrıntı için IBM’in resmi güvenlik bültenini ziyaret edin veya CVE veritabanı girişine bakın.
Kuruluşlar bu sorunu proaktif bir şekilde ele alarak potansiyel istismarı önleyebilir ve hassas verilerini kötü niyetli aktörlerden koruyabilir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!