IBM QRadar SIEM 漏洞允许攻击者执行任意命令

IBM QRadar SIEM 中存在多个高严重性漏洞，可能允许攻击者执行任意命令并访问敏感数据。

最严重的漏洞被跟踪为 CVE-2025-33117，CVSS 评分为 9.1，使特权用户能够上传可在受影响系统上执行任意命令的恶意文件。

敦促运行 IBM QRadar SIEM 版本 7.5 到 7.5.0 UP12 IF01 的组织立即更新到最新补丁，以防止潜在的安全漏洞。

关键 QRadar 文件路径漏洞 （CVE-2025-33117）

最严重的漏洞 CVE-2025-33117 对企业安全基础设施构成直接威胁。

此缺陷归类为 CWE-73：文件名或路径的外部控制，允许特权用户修改配置文件，从而能够上传恶意自动更新文件。

漏洞的 CVSS 向量 （CVSS：3.1/AV：N/AC：L/PR：H/UI：N/S：C/C：H/I：H/A：H） 表示基于网络的利用，攻击复杂度低，需要高权限，但无需用户交互。

安全研究人员已经证明，具有提升访问权限的攻击者可以利用此漏洞获得完整的系统控制，从而可能危及整个 SIEM 部署。

CVSS 向量中的范围更改 （S：C） 表明，成功利用此漏洞可能会影响易受攻击组件以外的资源，这使得这在 QRadar 管理关键安全数据的企业环境中尤其危险。

发现的其他安全漏洞

CVE-2025-33121 表示 CVSS 评分为 7.1 的 XML 外部实体 （XXE） 注入漏洞，分类为 CWE-611：XML 外部实体引用的不当限制。

这种远程攻击媒介允许经过身份验证的用户通过恶意构建的 XML 数据泄露敏感信息或耗尽内存资源。

第三个漏洞 CVE-2025-36050 涉及本地用户可访问的日志文件中敏感信息的不当存储。

CVSS 评分为 6.2 且分类为 CWE-532：将敏感信息插入日志文件，此漏洞可能会将机密数据暴露给未经授权的本地用户。

CVSS 向量 （CVSS：3.1/AV：L/AC：L/PR：N/UI：N/S：U/C：H/I：N/A：N） 表示本地访问要求，但不需要身份验证。

这些漏洞是由 IBM 的安全道德黑客团队发现的，该团队包括研究人员 John Zuccato、Rodney Ryan、Chris Shepherd、Vince Dragnea、Ben Goodspeed 和 Dawid Bak。

IBM 发布了 QRadar 7.5.0 UP12 IF02 作为所有已识别漏洞的最终修复程序。鉴于这些缺陷的严重性质，尤其是任意命令执行能力，组织必须优先考虑此更新。

该安全公告没有提供任何解决方法或缓解措施，因此立即修补是唯一可行的防御策略。

原文来自: cybersecuritynews.com