Pubblicato il 2026-06-30 · Fonte: NVD NIST
La vulnerabilità CVE-2025-36359 colpisce le versioni 1.0.1 di IBM DevOps Automation e 1.0.2 di IBM DevOps Loop. Questa vulnerabilità, classificata con un punteggio CVSS di 8.1, permette a un utente autenticato di impersonare un altro utente nel sistema a causa della mancata invalidazione degli ID di sessione dopo la scadenza. La CWE-613 identifica questo tipo di problema come 'Insufficient Session Expiration'. Non ci sono segnalazioni di sfruttamento attivo di questa vulnerabilità.
Un attaccante potrebbe sfruttare questa vulnerabilità per impersonare un utente legittimo all'interno del sistema, potenzialmente conducendo ad accessi non autorizzati a dati sensibili o all'esecuzione di azioni con privilegi di utenti diversi. I sistemi a rischio sono quelli che utilizzano le versioni vulnerabili di IBM DevOps Automation e IBM DevOps Loop.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di applicare le patch di sicurezza fornite da IBM non appena disponibili. In assenza di patch, è importante adottare pratiche di sicurezza generiche come il monitoraggio delle attività degli utenti, la limitazione dei privilegi degli utenti e l'implementazione di un sistema di gestione delle sessioni robusto. Inoltre, è fondamentale mantenere aggiornati i software e i sistemi operativi per ridurre la superficie di attacco.
La vulnerabilità CVE-2025-36359 è un problema di sicurezza che colpisce IBM DevOps Automation e IBM DevOps Loop, permettendo l'impersonazione di utenti a causa della mancata invalidazione degli ID di sessione dopo la scadenza.
L'impatto di questa vulnerabilità include la possibilità per un attaccante di impersonare un utente legittimo, conducendo potenzialmente ad accessi non autorizzati e all'esecuzione di azioni con privilegi di utenti diversi.
Per proteggersi, è necessario applicare le patch di sicurezza fornite da IBM non appena disponibili e adottare pratiche di sicurezza generiche come il monitoraggio delle attività degli utenti e la limitazione dei privilegi degli utenti.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.