IBM Aspera Faspex, versies 5.0.0 tot en met 5.0.12.1, bevat een middelzwaar sessiebeveiligingsprobleem waarmee een geauthenticeerde gebruiker ongeautoriseerde acties kan uitvoeren. Dit wordt veroorzaakt door client-side handhaving van server-side beveiligingsmechanismen. CVE-2025-36040 kan een aanzienlijke bedreiging vormen, vooral binnen netwerken waar gevoelige gegevens worden behandeld.
Overzicht
De kwetsbaarheid bevindt zich in de sessiebeveiliging van IBM Aspera Faspex. Door onvoldoende sessie-expiratie kan een gebruiker ongeautoriseerde acties uitvoeren. Hierdoor kan integriteitsschade optreden, hoewel de vertrouwelijkheid en beschikbaarheid niet worden beïnvloed.
Risicoanalyse
- Aanvalscomplexiteit: Laag
- Aanvalsvector: Netwerk
- Impact op integriteit: Hoog
- Privileges vereist: Laag
- Gebruikersinteractie: Geen
Aanbevelingen
IBM adviseert sterk om de kwetsbaarheid onmiddellijk aan te pakken door een upgrade naar Faspex versie 5.0.13 uit te voeren.
Bronnen
Vraag en Antwoord
1. Wat is CVE-2025-36040?
Het betreft een probleem met sessiebeveiliging dat geauthenticeerde gebruikers toestaat ongeautoriseerde acties uit te voeren op IBM Aspera Faspex.
2. Welke systemen zijn kwetsbaar voor CVE-2025-36040?
IBM Aspera Faspex versies 5.0.0 tot en met 5.0.12.1 zijn kwetsbaar.
3. Bestaat er al een patch of beveiligingsupdate?
Ja, IBM beveelt aan een upgrade naar versie 5.0.13 uit te voeren om het probleem op te lossen.
4. Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan verschillende ongeautoriseerde acties uitvoeren, wat kan leiden tot integriteitsschade binnen de applicatie.
