무슨 일이 있었나
IBM은 Engineering AI Hub의 웹 인터페이스에서 critical(CVSS 9.3) cross-site scripting 취약점을 공개했으며, 같은 제품 라인의 관련 session-token-in-URL exposure (CVE-2026-15322) 및 open-redirect (CVE-2026-15093) 문제도 함께 공개했습니다.
왜 중요한가
IBM Engineering AI Hub는 engineering 조직에서 AI/ML assets을 관리하기 위한 내부 플랫폼입니다. 웹 콘솔에서 도달 가능한 stored/reflected XSS는 AI model pipelines 및 구성을 관리하는 관리자 세션을 탈취하는 데 사용될 수 있지만, 폭발 범위는 이 특정 IBM 제품을 실행하는 조직으로 제한됩니다.
공격 경로
IBM Engineering AI Hub는 웹 페이지 생성 중에 입력을 제대로 neutralize하지 못하여 원격 공격자가 AI Hub 웹 콘솔에 대한 피해자의 브라우저 세션 컨텍스트에서 임의의 scripts를 실행하도록 합니다.
영향받는 시스템
IBM Engineering AI Hub 1.0.0, 1.1.0, 및 1.2.0
완화 방안
보안 공지(support pages node/7279964)에 따라 IBM의 fix를 적용하세요.