漏洞关键信息 概要 IBM Db2® 在处理XML数据时易受XML外部实体注入(XXE)攻击。 漏洞详细信息 CVE ID: CVE-2025-36247 描述: IBM Db2 for Linux, UNIX and Windows(含Db2 Connect Server)在处理XML数据时,存在外部实体注入漏洞(XXE)。远程攻击者可利用此漏洞暴露敏感信息或消耗内存资源。 CWE: CWE-611: Improper Restriction of XML External Entity Reference CVSS 来源: IBM CVSS 基本评分: 7.1 CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L) 受影响产品和版本 所有平台都受影响。早期发布版本(如11.1, 10.5, 10.1, 9.7等)也可能受影响,但不再受支持。任何未提及的更老版本不受支持。 修复措施 客户运行任何受影响程序的易受攻击的modpack版本(V11.5和V12.1)可以下载包含此问题临时修复的特殊构建版本。这些特殊构建版本基于每个受影响版本的最新级别:V11.5.9, V12.1.2和V12.1.3。它们可以应用到受影响版本的任何级别来修复此漏洞。 备注和缓解 无 变更历史 2026年2月9日:初始发布