脆弱性  ·  2026-07-19

IBM Engineering AI Hub 不適切な Web ページ入力ニュートライゼーション経由のクロスサイトスクリプティング

脆弱性High 影響度GlobalCVE-2026-15091
IBM は Engineering AI Hub の Web インターフェースの重大な (CVSS 9.3) クロスサイトスクリプティング脆弱性を開示しました。同じ製品ラインの関連セッショントークン URL 露出 (CVE-2026-15322) およびオープンリダイレクト (CVE-2026-15093) 問題と並行して公開されました。
IBM Engineering AI Hub はエンジニアリング組織で AI/ML アセットを管理するための内部プラットフォームです。そのWeb コンソールでアクセス可能な格納型/反射型 XSS は、AI モデルパイプラインと構成を管理する管理者セッションをハイジャックするために使用される可能性がありますが、影響範囲はこの特定の IBM 製品を実行している組織に限定されます。
IBM Engineering AI Hub は Web ページ生成中に入力を適切にニュートライズできず、リモート攻撃者が AI Hub Web コンソールに対する被害者のブラウザセッションのコンテキストで任意のスクリプトを実行することを可能にします。
IBM Engineering AI Hub 1.0.0、1.1.0、および 1.2.0
セキュリティ速報 (サポートページ node/7279964) あたり IBM の修正を適用してください。
IBM Security Bulletin — Engineering AI Hub XSS
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →