Katalog CVE

CVE-2025-36320

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność na trwałe skrypty między witrynami (stored XSS) w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0. Umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości kradzieży poświadczeń użytkowników poprzez wykonanie złośliwego skryptu w przeglądarce ofiary, co może skutkować nieautoryzowanym dostępem do danych i systemów.

Rekomendacja

Zaleca się natychmiastową aktualizację IBM watsonx.data intelligence do najnowszej dostępnej wersji zawierającej poprawkę bezpieczeństwa oraz wdrożenie mechanizmów filtrowania wejścia i kodowania wyjścia w aplikacji.

Oryginalny opis (angielski, źródło NVD)

IBM watsonx.data intelligence 5.2.0, 5.2.1, 5.2.2, 5.3.0 is vulnerable to stored cross-site scripting. This vulnerability allows an authenticated user to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS