🔴 严重 | CVE-2026-9074 — IBM API Connect 10.0.8.0 through 10.0.8.9 and 12.1...
🔴 《严重安全漏洞:CVE-2026-9074》
CVSS 评分: 严重(9.1) 状态: Received 发布时间: 2026-07-08
漏洞简介
CVE-2026-9074 是一个存在于 IBM API Connect 中的安全漏洞,其根本原因属于 SQL 注入(SQL injection)(CWE-89)。该漏洞位于密码重置(password reset)功能模块中,攻击者可以在无需身份认证(unauthenticated) 的情况下,通过构造恶意的 SQL 查询语句,利用该功能对后端数据库进行注入攻击。
根据 CVSS 3.1 评分向量(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N),该漏洞具有以下特征:
- 攻击途径(Attack Vector):网络(Network),即远程可利用。
- 攻击复杂度(Attack Complexity):低(Low),无需特殊条件。
- 所需权限(Privileges Required):无(None),无需任何认证。
- 用户交互(User Interaction):无(None),无需受害者操作。
- 影响范围(Scope):未改变(Unchanged)。
- 机密性影响(Confidentiality Impact):高(High),可能导致数据库中的敏感信息泄露。
- 完整性影响(Integrity Impact):高(High),攻击者可能修改或删除数据库中的数据。
- 可用性影响(Availability Impact):无(None),该漏洞不直接导致服务不可用。
影响范围
受影响的 IBM API Connect 版本如下:
- 10.0.8.0 至 10.0.8.9(含)
- 12.1.0.0 至 12.1.0.3(含)
建议使用上述版本的用户尽快升级至官方修复版本(具体修复版本请参考 IBM 官方安全公告,链接见参考来源)。
风险分析
该漏洞的风险等级较高,主要源于以下两点:
- 无需认证即可利用:密码重置功能通常对外部用户开放,攻击者无需任何有效账户即可发起攻击,大大降低了攻击门槛。
- SQL 注入导致的数据泄露与篡改:成功利用该漏洞后,攻击者可以绕过正常的访问控制,直接向后端数据库执行任意 SQL 语句。这可能导致:
- 窃取用户凭证、API 密钥、配置信息等敏感数据。
- 篡改或删除数据库中的关键业务数据,影响系统正常运行。
- 结合其他漏洞,可能进一步升级为对服务器或内部网络的横向移动攻击。
由于该漏洞影响的是 API 管理平台的核心组件,一旦被利用,可能对企业的 API 安全、数据安全及业务连续性造成严重威胁。建议受影响用户立即评估并部署修复补丁。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-9074 |
| CVSS 评分 | 9.1 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
| CWE 分类 | CWE-89 |
| 发布时间 | 2026-07-08 |
| 最后更新 | 2026-07-08 |
| 状态 | Received |
| 数据来源 | psirt@us.ibm.com |
🔗 参考链接
💬 评论