关键漏洞信息 漏洞概述 CVE ID: CVE-2025-33104 描述: IBM WebSphere Application Server 存在跨站脚本(XSS)漏洞。该漏洞允许用户在Web UI中嵌入任意JavaScript代码,从而改变预期功能,可能导致信任会话中的凭据泄露。 CVSS评分 CVSS源: IBM CVSS基础评分: 4.4 CVSS向量: (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N) 影响的产品和版本 IBM WebSphere Application Server: - 版本 9.0 - 版本 8.5 修复措施 推荐修复: IBM 强烈建议立即应用当前可用的临时修复或包含APAR PH66028修复的修复包。 针对IBM WebSphere Application Server传统版: - 对于V9.0.0.0至9.0.5.23: - 升级到由临时修复要求的最小修复包级别,然后应用解决PH66028的临时修复。 - 或者,应用Fix Pack 9.0.5.24或更高版本(预计2Q2025可用)。 - 对于V8.5.0.0至8.5.5.27: - 升级到由临时修复要求的最小修复包级别,然后应用解决PH66028的临时修复。 - 或者,应用Fix Pack 8.5.5.28或更高版本(预计3Q2025可用)。 绕过和缓解措施 无 参考资料 完整的CVSS v3指南 在线计算器v3 相关信息 IBM安全工程Web门户 IBM产品安全事件响应博客