关键漏洞信息 漏洞概述 CVE ID: CVE-2025-36048 描述: IBM webMethods Integration Server 受到通过 pub.scheduler.addOneTimeTask 服务的权限提升漏洞影响。该漏洞允许特权用户在处理外部实体时由于不必要的权限执行而提升其权限。 漏洞详情 CWE: CWE-250 - Execution with Unnecessary Privileges CVSS 分数: 7.2 CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) 影响的产品和版本 修复措施 强烈建议立即应用提到的核心修复程序或后续核心修复程序,并遵循相应的修复说明文档。 具体修复版本: - IS_10.5_Core_Fix29 或更高 - IS_10.7_Core_Fix23 或更高 - IS_10.11_Core_Fix12 或更高 - IS_10.15_Core_Fix14 或更高 绕过和缓解措施 无 报告者 漏洞由 Rob Maslen (rob.maslen@mdsec.co.uk) 报告给 IBM。 更新历史 2025年6月18日:更新 CVE 信息 2025年6月18日:初始发布