Katalog CVE

CVE-2025-36359

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Podatność w IBM DevOps Automation 1.0.1 i IBM DevOps Loop 1.0.2 polega na braku unieważniania identyfikatorów sesji po ich wygaśnięciu. Umożliwia to uwierzytelnionemu użytkownikowi podszycie się pod innego użytkownika systemu.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia sesji innego użytkownika, co może prowadzić do nieautoryzowanego dostępu do danych i operacji w systemie DevOps.

Rekomendacja

Zaleca się natychmiastową aktualizację do wersji, w której poprawiono unieważnianie sesji, oraz wdrożenie mechanizmów wymuszających ponowne uwierzytelnienie po wygaśnięciu sesji.

Oryginalny opis (angielski, źródło NVD)

IBM DevOps Automation 1.0.1 and IBM DevOps Loop 1.0.2 does not invalidate session IDs after expiration which could allow an authenticated user to impersonate another user on the system.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS