关键信息 漏洞概述 CVE ID: CVE-2025-36047 描述: IBM WebSphere Application Server Liberty 在启用 HTTP/2 协议的 servlet-3.1、servlet-4.0、servlet-5.0 或 servlet-6.0 功能时,易受拒绝服务攻击。远程攻击者可以通过发送特制请求利用此漏洞,导致服务器消耗内存资源。 漏洞详情 CWE: CWE-770: 分配资源没有限制或节流 CVSS 评分: 5.3 CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) 影响的产品和版本 受影响产品: IBM WebSphere Application Server Liberty 版本: 18.0.0.2 - 25.0.0.8 修复措施 建议: IBM 强烈建议立即应用当前可用的临时修复程序或包含 APAR PH66953 修复的修复包。 升级步骤: - 升级到所需的最低修复包级别,并应用解决 PH66953 的临时修复程序。 - 或者,应用 Liberty Fix Pack 25.0.0.9 或更高版本(预计在 2025 年第三季度发布)。 其他信息 变通方法和缓解措施: 无 通知: 订阅 My Notifications 以接收未来安全公告的通知。 参考资料: - 完整 CVSS v3 指南 - 在线计算器 v3 相关链接: - IBM Secure Engineering Web Portal - IBM Product Security Incident Response Blog