🔴 《严重安全漏洞:CVE-2026-9074》

CVSS 评分: 严重(9.1)  状态: Received  发布时间: 2026-07-08


漏洞简介

CVE-2026-9074 是一个存在于 IBM API Connect 中的安全漏洞,其根本原因属于 SQL 注入(SQL injection)(CWE-89)。该漏洞位于密码重置(password reset)功能模块中,攻击者可以在无需身份认证(unauthenticated) 的情况下,通过构造恶意的 SQL 查询语句,利用该功能对后端数据库进行注入攻击。

根据 CVSS 3.1 评分向量(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N),该漏洞具有以下特征:

  • 攻击途径(Attack Vector):网络(Network),即远程可利用。
  • 攻击复杂度(Attack Complexity):低(Low),无需特殊条件。
  • 所需权限(Privileges Required):无(None),无需任何认证。
  • 用户交互(User Interaction):无(None),无需受害者操作。
  • 影响范围(Scope):未改变(Unchanged)。
  • 机密性影响(Confidentiality Impact):高(High),可能导致数据库中的敏感信息泄露。
  • 完整性影响(Integrity Impact):高(High),攻击者可能修改或删除数据库中的数据。
  • 可用性影响(Availability Impact):无(None),该漏洞不直接导致服务不可用。

影响范围

受影响的 IBM API Connect 版本如下:

  • 10.0.8.0 至 10.0.8.9(含)
  • 12.1.0.0 至 12.1.0.3(含)

建议使用上述版本的用户尽快升级至官方修复版本(具体修复版本请参考 IBM 官方安全公告,链接见参考来源)。

风险分析

该漏洞的风险等级较高,主要源于以下两点:

  1. 无需认证即可利用:密码重置功能通常对外部用户开放,攻击者无需任何有效账户即可发起攻击,大大降低了攻击门槛。
  2. SQL 注入导致的数据泄露与篡改:成功利用该漏洞后,攻击者可以绕过正常的访问控制,直接向后端数据库执行任意 SQL 语句。这可能导致:
    • 窃取用户凭证、API 密钥、配置信息等敏感数据。
    • 篡改或删除数据库中的关键业务数据,影响系统正常运行。
    • 结合其他漏洞,可能进一步升级为对服务器或内部网络的横向移动攻击。

由于该漏洞影响的是 API 管理平台的核心组件,一旦被利用,可能对企业的 API 安全、数据安全及业务连续性造成严重威胁。建议受影响用户立即评估并部署修复补丁。


🔍 技术细节

字段
CVE ID CVE-2026-9074
CVSS 评分 9.1 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE 分类 CWE-89
发布时间 2026-07-08
最后更新 2026-07-08
状态 Received
数据来源 psirt@us.ibm.com

🔗 参考链接