关键漏洞信息 漏洞概述 IBM Aspera Faspex 存在用户输入清理和 HTML 注入漏洞(CVE-2025-33137, CVE-2025-33136, CVE-2025-33138)。 漏洞详情 CVE-2025-33137 - 描述: IBM Aspera Faspex 5 可能允许经过身份验证的用户获取敏感信息或代表其他用户执行未经授权的操作,由于客户端强制执行服务器端安全性不足。 - CWE: CWE-602: 客户端强制执行服务器端安全性 - CVSS 基本分数: 7.1 - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N) CVE-2025-33136 - 描述: IBM Aspera Faspex 5 可能允许经过身份验证的用户获取敏感信息或代表其他用户执行未经授权的操作,由于对假定不可变数据的保护不当。 - CWE: CWE-471: 修改假定不可变数据 (MAID) - CVSS 基本分数: 7.1 - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N) CVE-2025-33138 - 描述: IBM Aspera Faspex 5 对 HTML 注入易受攻击。远程攻击者可以注入恶意 HTML 代码,当在受害者的 Web 浏览器中查看时,会在托管站点的安全上下文中执行。 - CWE: CWE-80: 网页中脚本相关 HTML 标签的不正确中和 (基本 XSS) - CVSS 基本分数: 5.4 - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:A/N) 影响的产品和版本 修复措施 IBM 强烈建议通过升级容器镜像到 5.0.12.1 来解决这些漏洞,该镜像可从 IBM Container Registry 获得。 绕过和缓解措施 无 发布历史 2025 年 5 月 21 日:初始发布