CVE-2025-36320
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność na trwałe skrypty między witrynami (stored XSS) w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0. Umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości kradzieży poświadczeń użytkowników poprzez wykonanie złośliwego skryptu w przeglądarce ofiary, co może skutkować nieautoryzowanym dostępem do danych i systemów.
Rekomendacja
Zaleca się natychmiastową aktualizację IBM watsonx.data intelligence do najnowszej dostępnej wersji zawierającej poprawkę bezpieczeństwa oraz wdrożenie mechanizmów filtrowania wejścia i kodowania wyjścia w aplikacji.
Oryginalny opis (angielski, źródło NVD)
IBM watsonx.data intelligence 5.2.0, 5.2.1, 5.2.2, 5.3.0 is vulnerable to stored cross-site scripting. This vulnerability allows an authenticated user to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session.

