CVE-2025-14504 CVSS 5.4 中危

CVE-2025-14504: IBM Sterling B2B Integrator跨站脚本漏洞

披露日期: 2026-03-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14504

漏洞类型

跨站脚本(XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

IBM Sterling B2B Integrator, IBM Sterling File Gateway

漏洞概述

CVE-2025-14504是IBM Sterling B2B Integrator和IBM Sterling File Gateway中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于6.1.0.0至6.1.2.7_2、6.2.0.0至6.2.0.5_1等多个版本中，允许经过身份验证的用户在Web界面中嵌入任意JavaScript代码，从而可能窃取用户凭据或劫持会话。

技术细节

该漏洞为存储型XSS，攻击者通过在Web UI的输入字段中注入恶意JavaScript代码，当其他用户访问受影响页面时，脚本会在其浏览器上下文中执行。攻击者可利用此漏洞进行会话劫持、凭据窃取或修改页面内容。由于需要认证权限，攻击者必须是系统有效用户，这降低了漏洞被利用的可能性。

攻击链分析

STEP 1

攻击者以低权限用户身份登录IBM Sterling B2B Integrator

STEP 2

在Web UI的输入字段中注入恶意JavaScript代码

STEP 3

恶意脚本被存储在系统中

STEP 4

其他用户访问受影响页面时，脚本在其浏览器中执行

STEP 5

攻击者通过脚本窃取会话cookie或凭据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /SterlingGUI/streamProcess.do HTTP/1.1
Host: target.com
Cookie: JSESSIONID=valid_session

<parameter name="value"><script>alert(document.cookie)</script></parameter>

影响范围

IBM Sterling B2B Integrator 6.1.0.0 - 6.1.2.7_2

IBM Sterling File Gateway 6.1.0.0 - 6.1.2.7_2

IBM Sterling B2B Integrator 6.2.0.0 - 6.2.0.5_1

IBM Sterling File Gateway 6.2.0.0 - 6.2.0.5_1

IBM Sterling B2B Integrator 6.2.1.0 - 6.2.1.1_1

IBM Sterling File Gateway 6.2.1.0 - 6.2.1.1_1

IBM Sterling B2B Integrator 6.2.2.0

IBM Sterling File Gateway 6.2.2.0

防御指南

临时缓解措施

在应用官方补丁前，可通过禁用不必要的Web UI功能、限制用户权限、监控异常请求等方式降低风险

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14504
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14504
3 Details https://www.cvedetails.com/cve/CVE-2025-14504/
4 VulDB https://vuldb.com/cve/CVE-2025-14504
5 Link https://www.ibm.com/support/pages/node/7263327

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表