IBM CCA - CVE-2025-13375
Date de publication :
Une vulnérabilité critique dans IBM Common Cryptographic Architecture (CCA) permet à un attaquant distant non authentifié d’exécuter des commandes arbitraires avec des privilèges élevés sur le système affecté.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-250 : Execution with Unnecessary Privileges
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
CCA 7 MTM for 4769 :
• Plateformes : IBM AIX, IBM i, IBM PowerLinux, Linux (Intel x86)
• Version vulnérable : 7.5.52
CA 8 MTM for 4770
• Plateformes : IBM AIX, IBM i, IBM PowerLinux, Linux (Intel x86)
• Version vulnérable : 8.4.82
IBM 4769 Developers Toolkit
• Version vulnérable : 7.5.52
Solutions ou recommandations
IBM recommande l’application immédiate des correctifs suivants :
• Mise à jour de CCA 7 MTM for 4769 vers la version 7.5.53
• Mise à jour de CCA 8 MTM for 4770 vers la version 8.4.84
• Mise à jour de IBM 4769 Developers Toolkit vers la version 7.5.53
Pour IBM i, appliquer les PTFs correspondants selon la version :
• IBM i 7.6 : SJ08463 (5733-CY3), SJ08515 (5770-SS1 option 35)
• IBM i 7.5 : SJ08462 (5733-CY3), SJ08514 (5770-SS1 option 35)
• IBM i 7.4 : SJ08461 (5733-CY3), SJ08513 (5770-SS1 option 35)
• IBM i 7.3 : SJ08468 (5733-CY3), SJ08512 (5770-SS1 option 35)