IBM - CVE-2025-13855
Date de publication :
Il s'agit d'une vulnérabilité d'injection SQL dans l'endpoint JSON-RPC d'IBM Storage Protect Server.
IBM Storage Protect Server est une solution de sauvegarde, d'archivage et de récupération après sinistre à destination des entreprises. Il gère la protection des données sur des environnements physiques, virtuels et cloud, et expose un endpoint JSON-RPC permettant aux utilisateurs authentifiés d'interagir avec la base de données interne du serveur.
Un attaquant distant authentifié peut transmettre des requêtes SQL spécialement forgées à travers cet endpoint, qui les exécute directement contre la base de données interne du serveur sans neutralisation suffisante.
Elle permet de lire, ajouter, modifier ou supprimer des données administratives dans la base back-end, dont des métadonnées d'administration.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
IBM Storage Protect Server versions 8.1.0.000 jusqu'à 8.2.0.xxx