IBMは7月22日、IBM Db2 Mirror for i GUIに、「クロスサイトWebSocketハイジャック」と「セッション固定」の脆弱性が存在するため、リモートの攻撃者が本来許可されていない操作や、成りすましを行う恐れがある、と発表した。
「クロスサイトWebSocketハイジャック」とは、ユーザーの認証済みWebSocket接続を攻撃者が悪用して不正な操作やデータの送受信を行う攻撃、「セッション固定」とは、ユーザーがログインプロセス中に特定のセッションIDの使用を強制される脆弱性で、攻撃者はユーザーのセッションへの不正アクセスが可能になる。
影響を受けるOSバージョンは、
IBM i 7.6
IBM i 7.5
IBM i 7.4
IBM Db2 Mirror for iのバージョンは、
IBM Db2 Mirror for i 7.4
IBM Db2 Mirror for i 7.5
IBM Db2 Mirror for i 7.6
以下の脆弱性が指摘されている。
CVE-2025-36116
IBM Db2 Mirror for i GUIには、クロスサイトWebSocketハイジャックの脆弱性がある。特別に細工されたリクエストを送信することで、攻撃者は既存のWebSocket接続を盗聴し、本来許可されていない操作をリモートで実行できる可能性がある。
CVSS基本スコア: 6.3
CVE-2025-36117
IBM Db2 Mirror for iには、セッションIDを再利用後も無効化しないため、認証済みユーザーが別のユーザーになりすます可能性がある。
CVSS基本スコア: 6.3
対処法
以下のPTFを適用することにより修正できる。
| IBM i OSバージョン | 5770-DBM PTF 番号 |
ダウンロード先 |
| 7.4 | SJ05739 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05739 |
| 7.5 | SJ05742 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05742 |
| 7.6 | SJ05744 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ05744 |
Security Bulletin: IBM Db2 Mirror for i GUI is affected by cross-site WebSocket hijacking and session fixation vulnerabilities [CVE-2025-36116, CVE-2025-36117].
https://www.ibm.com/support/pages/node/7240351
[i Magazine・IS magazine]
