CVE-2025-36360: CWE-613 IBM UCD 中的会话过期不足漏洞

严重性：中类型：漏洞 CVE：CVE-2025-36360

IBM UCD - IBM UrbanCode Deploy 7.1 至 7.1.2.27、7.2 至 7.2.3.20、7.3 至 7.3.2.15 版本，以及 IBM UCD - IBM DevOps Deploy 8.0 至 8.0.1.10、8.1 至 8.1.2.3 版本，在 HTTP 会话客户端 IP 绑定强制执行机制中存在一个竞争条件。这可能导致会话在被系统失效之前，可以被新的 IP 地址短暂重用，从而在特定的网络条件下潜在地允许未授权访问。

技术摘要

CVE-2025-36360 是一个归类于 CWE-613（会话过期不足）的漏洞，影响 IBM UrbanCode Deploy (UCD) 7.1 至 7.3 版本以及 IBM DevOps Deploy 8.0 至 8.1.2.3 版本。问题源于 HTTP 会话客户端 IP 绑定强制执行机制中的竞争条件。通常，UCD 会将用户会话绑定到客户端 IP 地址，以防止来自不同 IP 的会话劫持。然而，由于这个竞争条件，存在一个短暂的时间窗口，在此期间，会话可以在系统使旧会话失效之前被新的 IP 地址重用。这个缺陷可能允许攻击者在特定的网络条件下，通过从不同的 IP 地址重用有效的会话令牌来获得未授权访问。该漏洞需要较低的权限（PR:L），但攻击复杂度很高（AC:H），这意味着利用并非易事，取决于特定的时间和网络场景。不需要用户交互（UI:N），攻击可以通过网络远程执行（AV:N）。其 CVSS v3.1 评分为 5.0（中危），反映了对机密性、完整性和可用性的有限但不可忽视的影响。目前尚无公开的漏洞利用程序或补丁，这强调了主动缓解措施的必要性。该漏洞影响关键的 DevOps 部署基础设施，可能使部署流水线和自动化流程面临未授权访问和操控的风险。

潜在影响

对于欧洲组织而言，此漏洞对通过 IBM UrbanCode Deploy 管理的软件部署流水线的安全性构成风险。未经授权的会话重用可能导致攻击者访问部署环境，可能允许他们更改部署配置、注入恶意代码或破坏自动化发布流程。这可能损害关键应用程序和服务的完整性和可用性，影响业务运营以及是否符合 GDPR 等数据保护法规。中危评级表明存在中等风险，但对 DevOps 环境（通常是持续集成和交付的重要组成部分）的潜在影响可能是显著的，特别是对于金融、医疗保健和关键基础设施等有严格安全要求的行业。缺乏已知的漏洞利用程序降低了直接风险，但不应导致自满。在欧洲严重依赖 IBM UCD 进行部署自动化的组织必须评估暴露情况并优先考虑缓解措施，以防止横向移动和会话劫持尝试。

缓解建议

1. 一旦 IBM 发布补丁或更新，立即应用以直接解决此漏洞。

2. 实施网络分段和严格的防火墙规则，仅限受信任的 IP 范围和内部网络访问 IBM UCD 服务器。

3. 对所有访问 UCD 环境的用户强制执行多因素认证（MFA），以降低会话劫持导致未授权访问的风险。

4. 监控会话活动日志中的异常情况，例如会话意外切换 IP 地址或异常的访问模式。

5. 配置会话超时设置，以最小化会话重用的机会窗口。

6. 使用 VPN 或安全隧道以确保一致的客户端 IP 地址，并降低来自不同 IP 的会话重用机会。

7. 对 DevOps 团队进行风险教育，并鼓励立即报告可疑的会话行为。

8. 考虑部署带有规则的 Web 应用防火墙（WAF），以检测和阻止可疑的会话重用尝试。

9. 定期审查和审计 IBM UCD 环境中的用户权限和会话管理策略。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利

来源： CVE 数据库 V5 发布日期： 2025 年 12 月 15 日 星期一 aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7CNtFrS1XSdQmluC3XV7Byt4lYvypIi3JjLvSVax63PBvp/VLL9zmw2f4C3CufzSygDq0/cQX3NJRWPjVdKDbqd 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享