IBM Aspera Orchestrator 高危漏洞：未经验证的密码更改

CVE-2025-13148: IBM Aspera Orchestrator 中CWE-620未经验证的密码更改

严重性：高
类型：漏洞
CVE：CVE-2025-13148

IBM Aspera Orchestrator 4.0.0 至 4.1.0 版本可能允许经过身份验证的用户在无需事先知晓该用户密码的情况下更改其他用户的密码。

技术总结

CVE-2025-13148 是在 IBM Aspera Orchestrator 4.0.0 至 4.1.0 版本中发现的一个漏洞，允许经过身份验证的用户在无需知晓目标用户当前密码的情况下更改其密码。此漏洞被归类为 CWE-620，涉及未经验证的密码更改。该缺陷源于应用程序在允许密码更新之前未正确验证当前密码，从而使任何拥有低权限的经过身份验证的用户能够通过劫持其他用户帐户来提升其访问权限。CVSS 3.1 基础评分为 8.1，反映了对机密性和完整性的高度影响，其攻击向量为网络，攻击复杂性低，且无需用户交互。该漏洞不影响可用性。尽管尚未有公开的漏洞利用报告，但考虑到在企业环境中可能导致的未经授权访问和横向移动，风险很高。IBM Aspera Orchestrator 广泛用于管理和自动化高速文件传输，通常部署在需要安全数据交换的行业，如媒体、金融和政府部门。缺少补丁链接表明修复可能需要供应商干预或配置更改。组织应注意，任何经过身份验证的用户，包括拥有最低权限的用户，都可能利用此漏洞危害其他帐户，可能导致数据泄露或未经授权的系统控制。

潜在影响

对于欧洲组织而言，此漏洞对通过 IBM Aspera Orchestrator 管理的敏感数据的机密性和完整性构成严重威胁。未经授权的密码更改可能导致帐户被接管，使攻击者能够访问、修改或外泄关键文件，并编排恶意工作流。这种风险在媒体制作、金融服务和政府机构等通常部署 Aspera Orchestrator 进行安全文件传输的行业尤为严重。用户帐户的泄露可能有助于在网络内进行横向移动，增加了更广泛泄露的可能性。该漏洞的网络可访问性和低利用复杂性意味着网络内部或凭据已泄露的攻击者可以快速提升权限。考虑到欧洲对 IBM 软件的高度依赖，尤其是在拥有大型企业 IT 部门的国家，如果未及时解决，影响可能很广泛。此外，像 GDPR 这样的监管框架规定了严格的数据保护要求，利用此漏洞可能导致重大的合规违规和财务处罚。

缓解建议

为缓解 CVE-2025-13148，欧洲组织应立即将 IBM Aspera Orchestrator 界面的访问权限限制为仅限受信任的人员，最好通过网络分段和 VPN 实现。实施严格的基于角色的访问控制（RBAC），以限制经过身份验证的用户执行密码更改或管理操作的能力。监控日志中是否存在异常的密码更改活动，并针对异常行为设置警报。在官方补丁发布之前，如果可行，请考虑为非管理用户禁用密码更改功能。采用多因素认证（MFA）以降低泄露凭据被利用的风险。定期对用户帐户和权限进行彻底审计，以检测未经授权的修改。联系 IBM 支持以获取有关变通方法或即将发布的补丁的指导。最后，对用户进行风险教育，并鼓励及时报告可疑的帐户活动。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、瑞典、比利时

来源： CVE 数据库 V5
发布日期： 2025年12月11日 星期四
aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7DBED+e2u/bSxZ3a2njcqQ0yr/9LKO0d1zfPDiFIQo4L2x0S8kwypnnTS1pZLALk81pqd6pNpOpctxXXmJGvRUx
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码