CVE-2025-33128
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Podatność XSS w IBM Engineering Workflow Management pozwala uwierzytelnionemu użytkownikowi na osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.
Ocena ryzyka
Atakujący może przejąć sesję innego użytkownika, wykraść jego dane logowania lub wykonać nieautoryzowane działania w kontekście ofiary.
Rekomendacja
Należy niezwłocznie zastosować dostępne poprawki (Interim Fix 020 dla wersji 7.0.3 lub Interim Fix 007 dla wersji 7.1) oraz ograniczyć uprawnienia użytkowników do niezbędnego minimum.
Oryginalny opis (angielski, źródło NVD)
IBM Engineering Workflow Management 7.0.3 through 7.0.3 Interim Fix 020, and 7.1 through 7.1 Interim Fix 007 is vulnerable to cross-site scripting. This vulnerability allows an authenticated user to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session.

