IBM Cloud Pak の脆弱性 CVE-2025-2895/5258 が FIX:HTML インジェクションとプロトタイプ汚染の恐れ

IBM Cloud Pak Vulnerabilities Allow HTML Injection by Remote Attackers

2025/07/01 gbhackers — IBM Cloud Pak System に存在する、2件のセキュリティ脆弱性 CVE-2025-2895/CVE-2020-5258 を悪用する攻撃者は、HTML インジェクションやプロトタイプ汚染を通じてユーザー・データやシステムの完全性を毀損する可能性を手にする。これらの脆弱性は、IBM の最新のセキュリティ情報で公開されており、このプラットフォームの複数バージョンに影響が及ぶため、ユーザー組織に深刻なリスクが生じる可能性がある。

脆弱性の詳細と悪用
  • CVE-2025-2895:HTML インジェクション

この脆弱性を悪用するリモート攻撃者は、悪意の HTML コード注入の可能性を得る。このコードは、Web 閲覧時のホスティング・サイトのセキュリティ・コンテキスト内で、被害者のブラウザ上で実行されるという。CVSS スコアは 5.4 (Medium) と評価されており、悪用に成功した攻撃者は、クライアント・サイド・スクリプトの実行により、セッション・ハイジャック/データ窃取/不正操作を引き起こすという。

  • CVE-2020-5258:プロトタイプ汚染

この脆弱性は、Dojo の NPM パッケージに影響を及ぼすプロトタイプ汚染の問題であり、JavaScript のプロトタイプにプロパティを注入する攻撃者は、アプリケーション・ロジックを侵害し、コード注入を可能にする。CVSS スコアは 7.5 (High) とされ、任意のコード実行/データ操作/システム侵害などを引き起こすという。

CVE IDDescriptionCVSS Score
CVE-2025-2895HTML injection enabling malicious script execution5.4
CVE-2020-5258Prototype pollution in Dojo package allowing code injection7.5

影響を受ける製品

ProductVersions (Power)Versions (Intel)
IBM Cloud Pak System2.3.3.7, 2.3.3.7 iFix12.3.3.6, 2.3.3.6 iFix1
2.3.5.02.3.4.0, 2.3.4.1

攻撃シナリオ

  1. パッチ未適用の IBM Cloud Pak インスタンスへ向けて、細工したペイロードを送信する。
  2. HTML インジェクションを利用し、認証情報やセッション Cookie を盗むスクリプトを展開する。
  3. プロトタイプ汚染でセキュリティ制御を無効化し、権限を昇格させる。

緩和策とパッチ

すでに IBM は、以下の緊急修正プログラムをリリースしている。

  • Intel システム:IBM Fix Central 経由での、v2.3.6.0 へのアップグレードが推奨される。
  • Power Systems:IBM サポートへ連絡しパッチ適用を確認する。
  • サポート対象外のバージョン:パッチ適用済みのリリースへと直ちに移行する。

これらの脆弱性は、IBM Cloud Pak エコシステムにおける、以下の深刻な脆弱性と類似している。

  • CVE-2024-47764:jshttp cookie モジュールにおける認証バイパスの脆弱性。
  • CVE-2024-5535:OpenSSL のバッファ・オーバーリードによる TLS 通信の脆弱性。

IBM は進化する脅威に対抗するため、包括的な監査とリアルタイムモニタリングの重要性を強調している。

IBM Cloud Pak System の HTML インジェクションおよびプロトタイプ汚染は、エンタープライズ・クラウド環境に深刻なリスクをもたらすものだ。ユーザー組織にとって必要なことは、影響を受けるバージョンを優先的に更新し、露出を軽減するための多層的なセキュリティ対策を採用し、データ侵害や運用中断を防ぐことである。

IBM Cloud Pak System に2件のセキュリティ脆弱性が発見されました。1つ目の CVE-2025-2895 は HTML インジェクション で、2つ目の CVE-2020-5258 は JavaScript のプロトタイプ汚染に関するものであり、いずれも外部からの悪用により、ユーザーの情報の窃取やシステム乗っ取りにいたる可能性があります。ご利用のチームは、十分に ご注意ください。よろしければ、IBM + Cloud で検索も、ご参照ください。