关键漏洞信息 受影响的产品和版本 - IBM Concert Software 1.0.0 - 2.1.0 漏洞详情 - CVE-2025-48924 - CWE: CWE-674: Uncontrolled Recursion - CVSS Base Score: 5.3 - Description: Apache Commons Lang 中的无控制递归漏洞。 - CVE-2025-33101 - CWE: CWE-244: Improper Clearing of Heap Memory Before Release ('Heap Inspection') - CVSS Base Score: 5.9 - Description: IBM Concert Software 中堆内存清理不当,导致可能泄露敏感信息。 - CVE-2025-58057 - CWE: CWE-409: Improper Handling of Highly Compressed Data (Data Amplification) - CVSS Base Score: 7.5 - Description: Netty 中处理高压缩数据不当,导致服务拒绝。 - CVE-2025-66034 - CWE: CWE-91: XML Injection (aka Blind XPath Injection) - CVSS Base Score: 9.8 - Description: fontTools 中任意文件写入漏洞,导致远程代码执行。 - CVE-2025-59343 - CWE: CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') - CVSS Base Score: 8.7 - Description: tar-fs 中的路径遍历漏洞。 - CVE-2025-33089 - CWE: CWE-798: Use of Hard-coded Credentials - CVSS Base Score: 6.5 - Description: IBM Concert Software 使用硬编码凭据,导致信息泄露或未授权操作。 - CVE-2025-9230 - CWE: CWE-125: Out-of-bounds Read - CVSS Base Score: 7.5 - Description: 密码基加密CMS消息时的越界读取,可能导致服务拒绝或内存损坏。 - CVE-2025-36243 - CWE: CWE-918: Server-Side Request Forgery (SSRF) - CVSS Base Score: 5.4 - Description: 服务器端请求伪造漏洞,允许发送未经授权的请求。 - CVE-2023-4218 - CWE: CWE-611: Improper Restriction of XML External Entity Reference - CVSS Base Score: 5 - Description: Eclipse IDE XML内容解析漏洞,易受XXE攻击。 - CVE-2024-43178 - CWE: CWE-327: Use of a Broken or Risky Cryptographic Algorithm - CVSS Base Score: 5.9 - Description: 使用弱加密算法,可能导致敏感信息泄露。 修复建议 - 推荐升级到IBM Concert Software 2.2.0版本。