Apa yang terjadi
IBM mengungkapkan kerentanan cross-site scripting kritis (CVSS 9.3) di antarmuka web Engineering AI Hub, bersama dengan eksposur token sesi terkait di URL (CVE-2026-15322) dan masalah pengalihan terbuka (CVE-2026-15093) dalam lini produk yang sama.
Mengapa penting
IBM Engineering AI Hub adalah platform internal untuk mengelola aset AI/ML di organisasi teknik; XSS tersimpan/tercermin yang dapat dijangkau di konsol webnya dapat digunakan untuk meretas sesi administrator yang mengelola pipeline dan konfigurasi model AI, meskipun radius ledakan terbatas pada organisasi yang menjalankan produk IBM spesifik ini.
Vektor serangan
IBM Engineering AI Hub gagal untuk dengan tepat menetralkan input selama generasi halaman web, memungkinkan penyerang jarak jauh untuk menjalankan skrip arbitrer dalam konteks sesi browser korban terhadap konsol AI Hub.
Sistem yang terdampak
IBM Engineering AI Hub 1.0.0, 1.1.0, dan 1.2.0
Mitigasi
Terapkan perbaikan IBM per buletin keamanan (node halaman dukungan/7279964).