CRITICAL🇬🇧 English

CVE-2025-36386

IBM Maximo Application Suite — pominięcie mechanizmów uwierzytelniania (RCE-ready)

CVSS 9.8v3.1pub. 2025-10-28upd. 2025-11-21

IBM Maximo Application Suite w wersjach 9.0.0–9.0.15 oraz 9.1.0–9.1.4 zawiera krytyczną lukę umożliwiającą zdalnemu atakującemu ominięcie mechanizmów uwierzytelniania i uzyskanie nieautoryzowanego dostępu do aplikacji. Podatność nie wymaga żadnych uprawnień ani interakcji użytkownika, co czyni ją wyjątkowo groźną.

Pokaż oryginał (EN)

IBM Maximo Application Suite 9.0.0 through 9.0.15 and 9.1.0 through 9.1.4 could allow a remote attacker to bypass authentication mechanisms and gain unauthorized access to the application.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) wskazuje na błąd w implementacji mechanizmu uwierzytelniania, który można obejść bez posiadania prawidłowych danych logowania. Atakujący sieciowy może wysłać spreparowane żądanie do aplikacji i uzyskać dostęp do chronionych zasobów, omijając standardowe kontrole tożsamości. Ze względu na wektor sieciowy (AV:N) i brak wymagań wstępnych (PR:N, AC:L), atak może być przeprowadzony przez każdego zdalnego użytkownika z dostępem do interfejsu aplikacji.

Skutki

Atakujący może uzyskać pełny, nieautoryzowany dostęp do aplikacji IBM Maximo Application Suite, co grozi naruszeniem poufności, integralności i dostępności danych — w tym wrażliwych danych operacyjnych i konfiguracyjnych zarządzanych aktywów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7249416

Kogo dotyczy

IBM Maximo Application Suite w wersjach 9.0.0 do 9.0.15 oraz 9.1.0 do 9.1.4

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • IBM Maximo Application Suite

    APP
    Ibm
    9.0 – 9.0.159.1.0 – 9.1.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-2898HIGH7.5ten sam produkt

IBM Maximo Application Suite 9.0 could allow an attacker with some level of access to elevate their privileges...

CVE-2024-22328HIGH7.5ten sam produkt

IBM Maximo Application Suite 8.10 and 8.11 could allow a remote attacker to traverse directories on the system...

CVE-2024-27266HIGH8.2ten sam produkt

IBM Maximo Application Suite 7.6.1.3 is vulnerable to an XML External Entity Injection (XXE) attack when proce...

CVE-2021-38924HIGH7.5ten sam produkt

IBM Maximo Asset Management 7.6.1.1 and 7.6.1.2 could allow a remote attacker to obtain sensitive information ...

CVE-2021-29854HIGH7.2ten sam produkt

IBM Maximo Asset Management 7.6.1.1 and 7.6.1.2 is vulnerable to HTTP header injection, caused by improper val...