CVE-2025-36230 CVSS 5.4 中危

CVE-2025-36230: IBM Aspera Faspex 5 HTML注入漏洞

披露日期: 2025-12-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-36230

漏洞类型

HTML注入

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

IBM Aspera Faspex 5

漏洞概述

CVE-2025-36230是IBM Aspera Faspex 5中的一个HTML注入漏洞。该漏洞存在于5.0.0到5.0.14.1版本中，允许远程攻击者注入恶意HTML代码。当受害者查看包含恶意代码的内容时，这些代码会在受害者的Web浏览器中执行，可能导致会话劫持、敏感信息泄露或进一步的恶意操作。攻击者需要具备低权限账户，并诱导受害者查看恶意内容。由于该漏洞影响Web应用的安全边界，攻击复杂度较低，但需要用户交互才能成功利用。

技术细节

HTML注入漏洞允许攻击者在Web应用的输入字段中插入恶意HTML或脚本代码。在IBM Aspera Faspex 5中，攻击者可以通过特定接口或功能点注入HTML标签和JavaScript代码。这些注入的代码会被应用程序存储，并在后续被其他用户查看时在浏览器中执行。由于代码在安全上下文中执行，攻击者可以窃取会话cookie、进行钓鱼攻击或修改页面内容。修复方案包括输入验证、输出编码和内容安全策略的实施。

攻击链分析

STEP 1

步骤1

攻击者通过低权限账户访问IBM Aspera Faspex 5

STEP 2

步骤2

在输入字段中注入恶意HTML/JavaScript代码

STEP 3

步骤3

应用程序存储恶意代码而未进行充分验证

STEP 4

步骤4

受害者查看包含恶意代码的内容

STEP 5

步骤5

恶意代码在受害者浏览器中执行，窃取敏感信息或执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

影响范围

IBM Aspera Faspex 5 5.0.0 - 5.0.14.1

防御指南

临时缓解措施

在应用层实施严格的输入验证和输出编码，确保所有用户输入都经过安全处理。启用内容安全策略限制脚本执行。对用户提交的内容进行HTML净化，移除潜在的恶意代码。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-36230
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-36230
3 Details https://www.cvedetails.com/cve/CVE-2025-36230/
4 VulDB https://vuldb.com/cve/CVE-2025-36230
5 Link https://www.ibm.com/support/pages/node/7255331

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表