CVE-2025-13460 CVSS 5.3 中危

CVE-2025-13460 IBM Aspera Console用户名枚举漏洞

披露日期: 2026-03-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13460

漏洞类型

用户名枚举

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

IBM Aspera Console

漏洞概述

IBM Aspera Console 3.3.0至3.4.8版本存在用户名枚举漏洞。攻击者可通过观察系统对不同用户名登录请求的响应差异来枚举有效用户名。该漏洞源于系统在认证过程中的响应时间、错误消息或HTTP状态码存在可观测差异，攻击者利用此特性可系统性地探测和收集系统中的有效用户名，为后续暴力破解或定向攻击奠定基础。用户名枚举通常作为更复杂攻击链的初始步骤，单独即可造成信息泄露风险。

技术细节

漏洞存在于IBM Aspera Console的用户认证模块。当攻击者提交登录请求时，系统对存在和不存在的用户名返回不同的响应特征，包括响应时间差异、错误消息措辞差异或HTTP状态码差异。攻击者可通过自动化工具批量测试用户名列表，识别系统中已注册的有效账户。此类漏洞常见于缺乏统一错误处理的认证系统，攻击者利用这些细微差异推断用户名有效性。

攻击链分析

STEP 1

侦查

攻击者识别目标系统并收集潜在用户名列表

STEP 2

枚举

通过自动化工具提交登录请求并分析响应差异

STEP 3

验证

确认枚举出的用户名有效性

STEP 4

利用

使用枚举结果进行后续攻击（如暴力破解）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target-host/aspera/console'
usernames = ['admin', 'user', 'test', 'administrator']

for user in usernames:
    response = requests.post(f'{target}/login', data={'username': user, 'password': 'wrong'})
    if 'User does not exist' not in response.text:
        print(f'Valid username found: {user}')

影响范围

IBM Aspera Console 3.3.0 - 3.4.8

防御指南

临时缓解措施

临时措施包括限制登录接口访问频率、监控异常登录模式、对错误响应进行混淆处理。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13460
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13460
3 Details https://www.cvedetails.com/cve/CVE-2025-13460/
4 VulDB https://vuldb.com/cve/CVE-2025-13460
5 Link https://www.ibm.com/support/pages/node/7263486

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表