IBM 发布了一份安全公告,其中涉及 IBM App Connect Enterprise 中的多个漏洞。受影响的组件——连接器发现、OpenAPI 编辑器、发现连接器和运行时——由于 Node.js 中间件 Multer、Form-data 和 On-headers 中的安全漏洞而易受攻击。这些漏洞可能使攻击者能够使系统瘫痪、操纵敏感数据或对响应头进行未经授权的修改。
第一个漏洞 CVE-2025-7338 影响了用于处理 multipart/form-data 的中间件 Multer。在 1.4.4-lts.1 及更高版本到 2.0.2 之前的版本中,攻击者可以通过格式错误的上传请求触发拒绝服务 (DoS) 攻击,导致进程崩溃。CVSS 基本得分为 7.5(高可用性影响)。更新到 2.0.2 版本可修复此漏洞,没有变通方法。
第二个漏洞 CVE-2025-7783 由于 Form-data 中的随机值不足,导致了 HTTP 参数污染 (HPP)。受影响的版本包括 Form-data 的 2.5.4 之前的版本以及 3.0.0 至 3.0.3 和 4.0.0 至 4.0.3。此漏洞对机密性和完整性构成高风险,CVSS 基本得分为 9.4。需要更新到相应的已修补版本。
第三个漏洞 CVE-2025-7339 影响了 1.1.0 之前的 On-headers 中间件版本。当将数组传递给 response.writeHead() 时,一个错误允许对响应头进行意外修改。CVSS 基本得分为 3.4(低风险),因为攻击需要本地访问和高权限。更新到 1.1.0 版本或使用对象而不是数组作为变通方法可以解决此问题。
受影响的版本包括 IBM App Connect Enterprise 13.0.1.0 至 13.0.4.1 以及 12.0.1.0 至 12.0.12.16。IBM 强烈建议应用修复程序 IT48413,该修复程序在 13.0.4.2 和 12.0.12.17 的修复包版本中可用。用户应立即安装更新以防止潜在攻击。IBM 还提供通过“我的通知”注册以接收未来安全公告的选项,以便主动了解最新信息。
这些漏洞凸显了定期更新软件的必要性,尤其是在处理敏感数据的企业环境中。没有推荐的更新,将面临系统故障和数据泄露的重大风险。
