事件经过
IBM公开披露了工程AI中枢web界面中的严重(CVSS 9.3)跨站脚本漏洞,以及同一产品线中相关的会话令牌在URL中暴露(CVE-2026-15322)和打开重定向(CVE-2026-15093)问题。
影响分析
IBM工程AI中枢是在工程组织中管理AI/ML资产的内部平台;可在其web控制台中到达的存储/反射XSS可用于劫持管理AI模型管道和配置的管理员会话,虽然影响范围限于运行此特定IBM产品的组织。
攻击途径
IBM工程AI中枢在web页面生成期间无法正确中立化输入,允许远程攻击者在受害者的浏览器会话上下文中针对AI中枢web控制台执行任意脚本。
受影响系统
IBM工程AI中枢1.0.0、1.1.0和1.2.0
缓解措施
根据安全公告应用IBM的修复(支持页面节点7279964)。