Lỗ hổng IBM QRadar SIEM cho phép thực thi lệnh từ xa
IBM đã công bố một bản tin bảo mật quan trọng cho nền tảng QRadar SIEM của mình. Nhiều lỗ hổng mức độ cao ảnh hưởng đến các phiên bản 7.5 đến 7.5.0 Update Package 12, bao gồm các vấn đề có thể cho phép thực thi lệnh tùy ý, lộ dữ liệu nhạy cảm và xâm phạm tính toàn vẹn của hệ thống.
Chi tiết lỗ hổng
| CVE | Mô tả | CVSS | Vector |
|---|---|---|---|
| CVE-2025-33117 | Thực thi lệnh tùy ý qua tệp tự động cập nhật độc hại | 9.1 | Có đặc quyền từ xa |
| CVE-2025-33121 | Tiêm XML External Entity (XXE); rò rỉ dữ liệu hoặc cạn kiệt tài nguyên | 7.1 | Đã xác thực từ xa |
| CVE-2025-36050 | Lộ thông tin nhạy cảm trong tệp log | 6.2 | Truy cập cục bộ |
Vấn đề nghiêm trọng nhất (CVE-2025-33117) cho phép kẻ tấn công đã xác thực tải lên các tệp độc hại và thực thi lệnh trên mạng. Lỗi XXE (CVE-2025-33121) cho phép xử lý XML độc hại để lộ thông tin hệ thống hoặc cạn kiệt tài nguyên. IBM cho biết không có giải pháp thay thế khả thi; vá ngay là thiết yếu.
Sản phẩm bị ảnh hưởng và khắc phục
Tất cả các triển khai chạy QRadar SIEM phiên bản 7.5 đến 7.5.0 UP12 IF01 đều bị ảnh hưởng. IBM đã phát hành QRadar 7.5.0 UP12 Interim Fix 02 (SFS 20250610184357) để giải quyết các lỗ hổng này, cùng với các bản sửa lỗi cho các vấn đề thành phần bổ sung trong các thư viện được đóng gói như Apache Tomcat và FreeType.
Các hành động khuyến nghị
- Xác minh phiên bản triển khai qua bảng điều khiển QRadar.
- Sao lưu tất cả dữ liệu trước khi nâng cấp.
- Cài đặt tệp cập nhật SFS trên tất cả các thiết bị.
- Đảm bảo không có thay đổi cấu hình đang chờ xử lý trước khi áp dụng bản cập nhật.
- Giám sát log xác thực để tìm hoạt động tài khoản có đặc quyền đáng ngờ cho đến khi các bản cập nhật được triển khai hoàn toàn.
Nguồn: Hỗ trợ IBM – Bản tin Bảo mật: IBM QRadar SIEM chứa nhiều lỗ hổng