CRITICAL🇬🇧 English

CVE-2025-36096

IBM AIX/VIOS: Niebezpieczne przechowywanie kluczy prywatnych NIM

CVSS 9.0v3.1pub. 2025-11-13upd. 2025-11-19

IBM AIX 7.2, 7.3 oraz IBM VIOS 3.1 i 4.1 przechowują klucze prywatne NIM (Network Installation Management) w sposób niewystarczająco zabezpieczony, co umożliwia nieuprawniony dostęp. Podatność jest krytyczna, ponieważ pozwala atakującemu bez uwierzytelnienia na przechwycenie kluczy metodą man-in-the-middle i potencjalne przejęcie kontroli nad środowiskiem.

Pokaż oryginał (EN)

IBM AIX 7.2, and 7.3 and IBM VIOS 3.1, and 4.1 stores NIM private keys used in NIM environments in an insecure way which is susceptible to unauthorized access by an attacker using man in the middle techniques.

🤖 Analiza AI
Jak działa

Klucze prywatne wykorzystywane w środowiskach NIM są składowane w sposób podatny na nieuprawniony odczyt (CWE-522 — niewystarczająco chronione dane uwierzytelniające). Atakujący może zastosować technikę man-in-the-middle w komunikacji sieciowej, aby przechwycić lub uzyskać dostęp do tych kluczy. Ponieważ wektor ataku jest sieciowy (AV:N) i nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, próg wejścia jest stosunkowo niski, choć atak wymaga pewnej złożoności technicznej (AC:H).

Skutki

Atakujący, który przechwyci klucze prywatne NIM, może uzyskać poufne informacje, a także potencjalnie modyfikować dane i zakłócać działanie systemów zarządzanych przez NIM, co odpowiada wysokiemu wpływowi na poufność, integralność i dostępność (C:H/I:H/A:H) z przekroczeniem zakresu (S:C).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7251173

Kogo dotyczy

IBM AIX 7.2 i 7.3 oraz IBM VIOS 3.1 i 4.1 działające w środowiskach wykorzystujących NIM (Network Installation Management).

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • IBM Aix

    OS
    Ibm
    7.27.3
  • IBM Vios

    APP
    Ibm
    3.1.04.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-36250CRITICAL10.0PL ✓ten sam produkt

RCE w IBM AIX/VIOS: błąd kontroli procesów w usłudze NIM server (nimesis)

CVE-2025-36251CRITICAL9.6PL ✓ten sam produkt

IBM AIX / VIOS nimsh — RCE przez wadliwą implementację SSL/TLS

CVE-2025-36038CRITICAL9.0PL ✓ten sam produkt

RCE w IBM WebSphere Application Server przez niebezpieczną deserializację

CVE-2024-56346CRITICAL10.0PL ✓ten sam produkt

IBM AIX: RCE w usłudze nimesis NIM master (CVSS 10.0)

CVE-2024-56347CRITICAL9.6PL ✓ten sam produkt

IBM AIX: RCE przez błędne mechanizmy kontroli procesów w usłudze nimsh (SSL/TLS)

CVE-2025-36096 — IBM AIX/VIOS: Niebezpieczne przechowywanie kluczy prywatnych NIM — CRITICAL 9.0 | CVEbaza.pl