何が起きたか
IBM は Engineering AI Hub の Web インターフェースの重大な (CVSS 9.3) クロスサイトスクリプティング脆弱性を開示しました。同じ製品ラインの関連セッショントークン URL 露出 (CVE-2026-15322) およびオープンリダイレクト (CVE-2026-15093) 問題と並行して公開されました。
なぜ重要か
IBM Engineering AI Hub はエンジニアリング組織で AI/ML アセットを管理するための内部プラットフォームです。そのWeb コンソールでアクセス可能な格納型/反射型 XSS は、AI モデルパイプラインと構成を管理する管理者セッションをハイジャックするために使用される可能性がありますが、影響範囲はこの特定の IBM 製品を実行している組織に限定されます。
攻撃経路
IBM Engineering AI Hub は Web ページ生成中に入力を適切にニュートライズできず、リモート攻撃者が AI Hub Web コンソールに対する被害者のブラウザセッションのコンテキストで任意のスクリプトを実行することを可能にします。
影響を受けるシステム
IBM Engineering AI Hub 1.0.0、1.1.0、および 1.2.0
緩和策
セキュリティ速報 (サポートページ node/7279964) あたり IBM の修正を適用してください。