Plataforma
ibm
Componente
datapower-gateway
Corregido en
10.6.6
10.5.1
10.6.1
La vulnerabilidad CVE-2025-36375 es una falla de Cross-Site Request Forgery (CSRF) que afecta a IBM DataPower Gateway. Esta vulnerabilidad permite a un atacante engañar a un usuario autenticado para que ejecute acciones no deseadas, comprometiendo la seguridad del sistema. Las versiones afectadas son 10.5.0.0 hasta 10.6.5.0, así como 10.6.0.0 hasta 10.6.0.8. IBM ha publicado actualizaciones para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad para realizar acciones no autorizadas en el DataPower Gateway, como modificar la configuración, crear o eliminar reglas, o incluso acceder a datos sensibles. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad y confidencialidad de los datos procesados por el gateway. La explotación exitosa requiere que el atacante pueda engañar a un usuario autenticado para que realice la acción maliciosa, lo que puede lograrse a través de phishing o mediante la inyección de código malicioso en un sitio web de confianza. Esta vulnerabilidad es similar en concepto a otros ataques CSRF, pero la especificidad del DataPower Gateway amplía el posible daño a la infraestructura de red.
La vulnerabilidad CVE-2025-36375 fue publicada el 1 de abril de 2026. La probabilidad de explotación se considera media, dado que los ataques CSRF son relativamente fáciles de ejecutar si se puede engañar al usuario. No se han reportado campañas de explotación activas conocidas al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations heavily reliant on IBM DataPower Gateway for network security and data management are at increased risk. This includes those using the gateway to manage sensitive data, control critical infrastructure, or integrate with other business-critical systems. Shared hosting environments where multiple users share a DataPower Gateway instance are also particularly vulnerable.
• linux / server:
journalctl -u datapower -g "CSRF attack"• generic web:
curl -I https://datapower_gateway/ | grep -i 'referer:'disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión de DataPower Gateway que incluya la corrección. Consulte la documentación de IBM para obtener instrucciones detalladas sobre el proceso de actualización. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de las entradas del usuario y la implementación de tokens CSRF en todas las solicitudes críticas. Además, se pueden configurar reglas de firewall para restringir el acceso al DataPower Gateway desde fuentes no confiables. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes no autorizadas son bloqueadas.
Actualice IBM DataPower Gateway a una versión que no sea vulnerable a CSRF. Consulte el advisory de IBM para obtener más detalles e instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-36375 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en IBM DataPower Gateway que permite a un atacante ejecutar acciones no autorizadas a través de un usuario autenticado.
Si está utilizando IBM DataPower Gateway en las versiones 10.5.0.0–10.6.5.0 o 10.6.0.0–10.6.0.8, es probable que esté afectado por esta vulnerabilidad.
La solución recomendada es actualizar a una versión de DataPower Gateway que incluya la corrección. Consulte la documentación de IBM para obtener instrucciones.
No se han reportado campañas de explotación activas conocidas, pero la probabilidad de explotación se considera media debido a la facilidad de los ataques CSRF.
Consulte el sitio web de IBM Security para obtener el advisory oficial y la información más actualizada sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.