关键漏洞信息 漏洞概述 IBM Planning Analytics Workspace 受到多个漏洞的影响,包括跨站脚本(XSS)、路径遍历和会话固定等。 漏洞详情 CVE-2025-2896 - 描述: IBM Planning Analytics Local 存在跨站脚本漏洞,允许授权用户在 Web UI 中注入任意 JavaScript 代码。 - CVSS 分数: 4.8 (低) - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:H/UI:S/SC:L/IA:N) CVE-2025-3305 - 描述: IBM Planning Analytics Local 在会话过期后不会使会话无效,可能导致会话劫持。 - CVSS 分数: 6.3 (中) - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L) CVE-2024-7892 - 描述: CPython 的 http.cookies 标准库模块存在低严重性影响,解析包含反斜杠的 cookie 值时使用了复杂度为二次方的算法,导致 CPU 资源过度使用。 - CVSS 分数: 7.5 (高) - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:A/A:H) CVE-2025-2504 - 描述: IBM Planning Analytics Local 存在跨站脚本漏洞,允许授权用户在 Web UI 中注入任意 JavaScript 代码。 - CVSS 分数: 5.4 (中) - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N) CVE-2025-23004 - 描述: IBM Planning Analytics Local 允许特权用户删除目录中的文件,从而绕过路径限制。 - CVSS 分数: 6.5 (中) - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H) 影响的产品和版本 IBM Planning Analytics Local - IBM Planning Analytics Workspace v2.1 IBM Planning Analytics Local - IBM Planning Analytics Workspace v2.0 修复措施 IBM Planning Analytics Local 2.1.11 已发布,可从 Fix Central 下载。 IBM Planning Analytics Local v2.0.0 Planning Analytics Release 104 可从 Fix Central 下载。 绕过和缓解措施 无 相关信息 IBM Secure Engineering Web Portal IBM Product Security Incident Response Blog