CRITICAL🇬🇧 English

CVE-2025-36356

IBM Security Verify Access — privilege escalation do root przez nadmiarowe uprawnienia

CVSS 9.3v3.1pub. 2025-10-06upd. 2025-12-15

IBM Security Verify Access oraz jego wariant Docker zawierają podatność umożliwiającą lokalnie uwierzytelnionemu użytkownikowi podniesienie uprawnień do poziomu root. Wynika ona z uruchamiania procesów z większymi uprawnieniami niż jest to wymagane (CWE-250).

Pokaż oryginał (EN)

IBM Security Verify Access and IBM Security Verify Access Docker 10.0.0.0 through 10.0.9.0 and 11.0.0.0 through 11.0.1.0 could allow a locally authenticated user to escalate their privileges to root due to execution with more privileges than required.

🤖 Analiza AI
Jak działa

Podatność polega na tym, że określone komponenty systemu są wykonywane z nadmiarowymi uprawnieniami systemowymi. Lokalnie zalogowany użytkownik może wykorzystać ten mechanizm, aby uzyskać pełen dostęp root do systemu lub kontenera. Błąd dotyczy zarówno wdrożeń tradycyjnych, jak i środowisk kontenerowych opartych na Docker.

Skutki

Atakujący z lokalnym dostępem może uzyskać pełne uprawnienia administracyjne (root), co pozwala na przejęcie kontroli nad systemem, odczyt i modyfikację poufnych danych oraz destabilizację środowiska.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7247215. Jako dodatkowe środki zaradcze należy ograniczyć dostęp lokalny do systemu wyłącznie do zaufanych użytkowników oraz stosować zasadę minimalnych uprawnień w środowiskach kontenerowych.

Kogo dotyczy

IBM Security Verify Access oraz IBM Security Verify Access Docker w wersjach 10.0.0.0 – 10.0.9.0 oraz 11.0.0.0 – 11.0.1.0 (dotyczy również wariantów IBM Verify Identity Access i IBM Verify Identity Access Docker w tych samych zakresach wersji).

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • IBM Security Verify Access

    APP
    Ibm
    10.0.9.010.0.0.0 – 10.0.9.0 (bez)
  • IBM Security Verify Access Docker

    APP
    Ibm
    10.0.9.010.0.0.0 – 10.0.9.0 (bez)
  • IBM Verify Identity Access

    APP
    Ibm
    11.0.1.011.0.0.0 – 11.0.1.0 (bez)
  • IBM Verify Identity Access Docker

    APP
    Ibm
    11.0.1.011.0.0.0 – 11.0.1.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2026-1346CRITICAL9.3PL ✓ten sam produkt

Privilege escalation do root w IBM Security Verify Access i Verify Identity Access

CVE-2024-49806CRITICAL9.4PL ✓ten sam produkt

IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)

CVE-2024-49805CRITICAL9.4PL ✓ten sam produkt

IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)

CVE-2024-49803CRITICAL9.8PL ✓ten sam produkt

IBM Security Verify Access — zdalne wykonanie poleceń (command injection)

CVE-2021-39070CRITICAL9.8ten sam produkt

IBM Security Verify Access 10.0.0.0, 10.0.1.0 and 10.0.2.0 with the advanced access control authentication ser...

CVE-2025-36356 — IBM Security Verify Access — privilege escalation do root przez nadmiarowe uprawnienia — CRITICAL 9.3 | CVEbaza.pl