Een recent ontdekte kwetsbaarheid in de IBM MQ Operator, geïdentificeerd als CVE-2025-33013, kan gevoelige informatie onthullen aan lokale gebruikers. Deze kwetsbaarheid treft verschillende versies van de IBM MQ Operator, waardoor een lokaal gebruiker potentieel toegang kan krijgen tot opgeslagen data door het onjuist vrijmaken van heapgeheugen. Dit lek kan ernstige gevolgen hebben voor de systeembeveiliging.
Overzicht
Deze kwetsbaarheid komt voor bij:
- MQ Operator LTS: Versies 2.0.0 tot en met 2.0.29
- MQ Operator CD: Versies 3.0.0, 3.0.1, 3.1.0 tot en met 3.1.3, 3.3.0, 3.4.0, 3.4.1, 3.5.0, 3.5.1, 3.6.0
- MQ Operator SC2: Versies 3.2.0 tot en met 3.2.13
De kwetsbaarheid, met een CVSS-score van 6.2, is gemarkeerd als middelmatig qua ernst, omdat het een hoge impact heeft op de vertrouwelijkheid van het systeem.
Aanbevelingen
IBM beveelt sterk aan om de meest recente containerafbeeldingen toe te passen:
ibm-mq-operatorv3.6.1: Downloadlinkibm-mqadvanced-server9.4.3.0-r2: Downloadlinkibm-mqadvanced-server-dev9.4.3.0-r2: Downloadlink
Voor de SC2-reeks, upgrade naar:
ibm-mq-operatorv3.2.14: Downloadlinkibm-mqadvanced-server9.4.0.12-r1: Downloadlink
Bronnen
Vraag en Antwoord
Wat is CVE-2025-33013?
Dit is een kwetsbaarheid die kan leiden tot het lekken van gevoelige informatie door het onjuist vrijmaken van geheugen in IBM MQ Operator.
Welke systemen zijn kwetsbaar voor CVE-2025-33013?
IBM MQ Operator versies zoals hierboven beschreven zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, updates zoals beschreven in de aanbevelingen sectie zijn beschikbaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk gevoelige informatie inzien die ten onrechte in het geheugen blijft staan.
