关键漏洞信息 漏洞概述 CVE编号: CVE-2023-5455, CVE-2024-37370, CVE-2024-45655 受影响产品: IBM Application Gateway 版本范围: 9.12 - 24.09 漏洞详情 CVE-2023-5455 描述: FreeIPA 存在跨站请求伪造(CSRF)漏洞,由于对用户输入的验证不当,攻击者可以通过诱使授权用户访问恶意网站来发送恶意 HTTP 请求,从而执行未经授权的操作。 CWE: CWE-352: Cross-Site Request Forgery (CSRF) CVSS Base Score: 6.5 CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N) CVE-2024-37370 描述: 在 MIT Kerberos 5 (aka krb5) 低于 1.21.3 的版本中,攻击者可以修改机密 GSS krb5 wrap token 的明文 Extra Count 字段,导致解包后的令牌看起来被截断。 CWE: CWE-345: Insufficient Verification of Data Authenticity CVSS Base Score: 5.3 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H) CVE-2024-45655 描述: IBM Application Gateway 允许本地特权用户由于权限分配不正确而执行未经授权的操作。 CWE: CWE-732: Incorrect Permission Assignment for Critical Resource CVSS Base Score: 5.3 CVSS Vector: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:H/A:N) 影响的产品和版本 受影响产品: IBM Application Gateway 版本: 9.12 - 24.09 缓解措施/修复 建议: IBM 强烈建议客户更新到最新版本的软件。IBM Verify Identity Access 版本 24.12.0 修复了这些漏洞,并可与 IBM Application Gateway Containers 中的说明一起下载。 工作区和缓解措施 工作区和缓解措施: 无 参考资料 完整 CVSS v3 指南 在线计算器 v3 相关信息 IBM Secure Engineering Web Portal IBM Product Security Incident Response Blog