IBM Concert Software Vulnerability Advisory: Multiple CVEs including RCE, SSRF, and Heap Inspection

关键漏洞信息 受影响的产品和版本 - IBM Concert Software 1.0.0 - 2.1.0 漏洞详情 - CVE-2025-48924 - CWE: CWE-674: Uncontrolled Recursion - CVSS Base Score: 5.3 - Description: Apache Commons Lang 中的无控制递归漏洞。 - CVE-2025-33101 - CWE: CWE-244: Improper Clearing of Heap Memory Before Release ('Heap Inspection') - CVSS Base Score: 5.9 - Description: IBM Concert Software 中堆内存清理不当，导致可能泄露敏感信息。 - CVE-2025-58057 - CWE: CWE-409: Improper Handling of Highly Compressed Data (Data Amplification) - CVSS Base Score: 7.5 - Description: Netty 中处理高压缩数据不当，导致服务拒绝。 - CVE-2025-66034 - CWE: CWE-91: XML Injection (aka Blind XPath Injection) - CVSS Base Score: 9.8 - Description: fontTools 中任意文件写入漏洞，导致远程代码执行。 - CVE-2025-59343 - CWE: CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') - CVSS Base Score: 8.7 - Description: tar-fs 中的路径遍历漏洞。 - CVE-2025-33089 - CWE: CWE-798: Use of Hard-coded Credentials - CVSS Base Score: 6.5 - Description: IBM Concert Software 使用硬编码凭据，导致信息泄露或未授权操作。 - CVE-2025-9230 - CWE: CWE-125: Out-of-bounds Read - CVSS Base Score: 7.5 - Description: 密码基加密CMS消息时的越界读取，可能导致服务拒绝或内存损坏。 - CVE-2025-36243 - CWE: CWE-918: Server-Side Request Forgery (SSRF) - CVSS Base Score: 5.4 - Description: 服务器端请求伪造漏洞，允许发送未经授权的请求。 - CVE-2023-4218 - CWE: CWE-611: Improper Restriction of XML External Entity Reference - CVSS Base Score: 5 - Description: Eclipse IDE XML内容解析漏洞，易受XXE攻击。 - CVE-2024-43178 - CWE: CWE-327: Use of a Broken or Risky Cryptographic Algorithm - CVSS Base Score: 5.9 - Description: 使用弱加密算法，可能导致敏感信息泄露。 修复建议 - 推荐升级到IBM Concert Software 2.2.0版本。

目標達成 すべての支援者に感謝 — 100%達成しました！

IBM Concert Software Vulnerability Advisory: Multiple CVEs including RCE, SSRF, and Heap Inspection

目標達成すべての支援者に感謝 — 100%達成しました！