安全公告: IBM Copy Services Manager 可能会受到漏洞的影响,因为缺省安全配置允许跨站点脚本
安全公告
总结
已发现一个漏洞,一旦用户在服务器中进行身份验证,就允许跨站点脚本。尽管利用此问题的可能性非常低,但 IBM Copy Services Manager 会经常更新产品依赖关系堆栈中的配置文件,以确保维护最大的安全性。
漏洞详情
CVEID:CVE-2025-36248
描述:IBM Copy Services Manager 容易受到跨站点脚本的攻击。此漏洞允许经过身份验证的用户在 Web UI 中嵌入任意 JavaScript 代码,从而改变预期功能,从而可能导致在受信任会话中泄露凭据。
CWE:CWE-79:网页生成过程中输入的不当中和(“跨站点脚本”)
CVSS 来源:IBM
CVSS 基本分数:5.4
CVSS 向量:(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
受影响的产品和版本
| 受影响的产品 | 版本 |
| IBM Copy Services Manager | 6.3.13 及以下版本 |
解决方法和缓解措施
1) 在 csmServer 下找到server.xml文件
2) 创建文件备份
3) 编辑文件并找到行
<http会话 cookieSecure=“true” cookieName=“csmsessionid” cookieSameSite=“Lax” />
4) 将行更改为以下内容:
<httpSession cookieSecure=“true” cookieName=“csmsessionid” cookieSameSite=“严格” />
5) 重新启动 IBM Copy Services Manager 服务。