漏洞  ·  2026-07-19

IBM工程AI中枢通过不当Web页面输入中立化的跨站脚本

漏洞High 影响GlobalCVE-2026-15091
IBM公开披露了工程AI中枢web界面中的严重(CVSS 9.3)跨站脚本漏洞,以及同一产品线中相关的会话令牌在URL中暴露(CVE-2026-15322)和打开重定向(CVE-2026-15093)问题。
IBM工程AI中枢是在工程组织中管理AI/ML资产的内部平台;可在其web控制台中到达的存储/反射XSS可用于劫持管理AI模型管道和配置的管理员会话,虽然影响范围限于运行此特定IBM产品的组织。
IBM工程AI中枢在web页面生成期间无法正确中立化输入,允许远程攻击者在受害者的浏览器会话上下文中针对AI中枢web控制台执行任意脚本。
IBM工程AI中枢1.0.0、1.1.0和1.2.0
根据安全公告应用IBM的修复(支持页面节点7279964)。
IBM Security Bulletin — Engineering AI Hub XSS
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →