IBM Engineering Systems Design Rhapsody, versies 9.0.2, 10.0 en 10.0.1, heeft een kritieke kwetsbaarheid (CVE-2025-33077) waardoor een lokale gebruiker een stack-gebaseerde bufferoverloop kan veroorzaken door onjuiste grenscontrole. Dit kan leiden tot willekeurige code-uitvoering op het systeem.
Een aanvaller kan met weinig privileges via een netwerk het complete systeem compromitteren, wat resulteert in een hoge impact op de beschikbaarheid, vertrouwelijkheid en integriteit van uw gegevens.
Overzicht
De kwetsbaarheid, aangeduid als CWE-119, betreft een onjuiste beperking van operaties binnen de grenzen van een geheugenbuffer. Het is van groot belang dat organisaties deze kwetsbaarheid serieus nemen gezien de hoge basescore van 8.8 op de CVSS-schaal.
Aanbevelingen
- Pas de volgende beveiligingsupdates toe die door IBM zijn uitgebracht:
- IBM Engineering Systems Design Rhapsody 9.0.2 iFix004
- IBM Engineering Systems Design Rhapsody 10.0 iFix002
- IBM Engineering Systems Design Rhapsody 10.0.1 iFix003
Bronnen
- Meer informatie over deze kwetsbaarheid kunt u vinden in de vendor advisory.
Vraag en Antwoord
Wat is CVE-2025-33077?
Dit is een veiligheidslek in IBM Engineering Systems Design Rhapsody dat buffer overflow mogelijk maakt, hetgeen kan resulteren in willekeurige code-uitvoering.
Welke systemen zijn kwetsbaar voor CVE-2025-33077?
Systemen die draaien op IBM Engineering Systems Design Rhapsody versies 9.0.2, 10.0 en 10.0.1 zijn vatbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, IBM heeft patches uitgebracht zoals vermeld in de aanbevelingen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan volledige controle over het systeem verkrijgen, wat leidt tot ernstige gevolgen voor integriteit, beschikbaarheid en vertrouwelijkheid.
