关键漏洞信息 漏洞详情 CVE ID: CVE-2025-36352 - 描述: IBM License Metric Tool 存在存储型跨站脚本(XSS)漏洞。此漏洞允许经过身份验证的用户在 Web UI 中嵌入任意 JavaScript 代码,从而改变预期功能,可能导致受信任会话中的凭据泄露。 - CVSS 基本分数: 6.4 - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N) CVE ID: CVE-2025-36351 - 描述: IBM License Metric Tool 可能允许经过身份验证的用户绕过 REST API 接口中的访问控制并执行未经授权的操作。 - CVSS 基本分数: 4.3 - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N) 影响的产品和版本 受影响产品: IBM License Metric Tool v9 版本: 9.2.0 - 9.2.40 修复措施 建议: IBM 强烈建议通过升级到最新 ILMT Server 版本 9.2.41 或更高版本来解决此漏洞。 工作区和缓解措施 工作区: 无 缓解措施: 无 其他信息 参考: - 完整的 CVSS v3 指南 - 在线计算器 v3 相关链接: - IBM Secure Engineering Web Portal - IBM Product Security Incident Response Blog