Plataforma
ibm
Componente
ibm-qradar-suite-software
Corregido en
1.11.3
1.10.12
La vulnerabilidad CVE-2025-25021 afecta a IBM QRadar Suite Software y IBM Cloud Pak for Security, permitiendo la ejecución remota de código (RCE). Esta falla se debe a la generación incorrecta de código al crear scripts de gestión, lo que podría permitir a un atacante con privilegios ejecutar código malicioso. Las versiones afectadas son 1.10.0.0 hasta 1.11.2.0 de QRadar Suite y 1.10.0.0 hasta 1.10.11.0 de Cloud Pak for Security. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por IBM.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el sistema QRadar afectado. Esto implica la capacidad de ejecutar comandos arbitrarios con los privilegios del usuario que creó el script, lo que podría resultar en la exfiltración de datos sensibles, la modificación de la configuración del sistema, la instalación de malware o incluso el acceso a otros sistemas dentro de la red. La gravedad de este impacto se agrava por el hecho de que QRadar Suite es una plataforma de seguridad crítica que recopila y analiza datos de seguridad de múltiples fuentes, lo que significa que un compromiso podría tener consecuencias devastadoras para toda la organización. La capacidad de ejecutar código arbitrario abre la puerta a una amplia gama de ataques, incluyendo la creación de puertas traseras persistentes y el movimiento lateral dentro de la red.
La vulnerabilidad CVE-2025-25021 fue publicada el 3 de junio de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa. La puntuación CVSS de 7.2 (ALTO) indica una alta probabilidad de explotación si la vulnerabilidad no se mitiga adecuadamente.
Organizations heavily reliant on IBM QRadar Suite Software for security monitoring and incident response are particularly at risk. This includes those with complex security environments, extensive log data processing, and potentially those with legacy QRadar deployments that may be slower to patch. Shared hosting environments utilizing QRadar instances are also at increased risk due to potential cross-tenant vulnerabilities.
• linux / server:
journalctl -u qradar | grep -i "case management script"• generic web:
curl -I <qradar_url>/case_management_script_endpoint• database (mysql):
SELECT * FROM scripts WHERE script_type = 'case_management' AND script_content LIKE '%malicious_code%';disclosure
Estado del Exploit
EPSS
0.16% (37% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión corregida proporcionada por IBM. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad temporales. Restrinja el acceso a la funcionalidad de creación de scripts de gestión solo a usuarios autorizados y con privilegios mínimos. Implemente controles de validación de entrada rigurosos para los scripts de gestión para evitar la inyección de código malicioso. Monitoree los registros del sistema en busca de actividades sospechosas relacionadas con la creación o ejecución de scripts. Considere la implementación de reglas en un firewall de aplicaciones web (WAF) para bloquear patrones de ataque conocidos. Después de aplicar la actualización, verifique que la vulnerabilidad haya sido corregida ejecutando pruebas de seguridad y revisando los registros del sistema.
Actualice IBM QRadar Suite Software a una versión posterior a 1.11.2.0 o IBM Cloud Pak for Security a una versión posterior a 1.10.11.0. Consulte el advisory de IBM para obtener más detalles e instrucciones específicas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25021 is a remote code execution vulnerability in IBM QRadar Suite Software versions 1.10.0.0–1.11.2.0 and IBM Cloud Pak for Security 1.10.0.0–1.10.11.0, allowing attackers to execute code through improper code generation in case management scripts.
If you are using IBM QRadar Suite Software versions 1.10.0.0 through 1.11.2.0 or IBM Cloud Pak for Security versions 1.10.0.0 through 1.10.11.0, you are potentially affected by this vulnerability.
The recommended fix is to upgrade to a patched version of IBM QRadar Suite Software or IBM Cloud Pak for Security as soon as possible. Refer to the official IBM security advisory for specific version details.
No public proof-of-concept exploits have been released, but the vulnerability's nature suggests it is a likely target for exploitation.
Please refer to the official IBM Security Bulletin for CVE-2025-25021. The specific URL will be available on the IBM Security Support website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.