Plataforma
ibm
Componente
aspera-shares
Corregido en
1.11.1
La vulnerabilidad CVE-2025-66487 afecta a IBM Aspera Shares en las versiones 1.9.9 hasta 1.11.0. Se trata de una denegación de servicio (DoS) causada por la falta de limitación en la frecuencia con la que un usuario autenticado puede enviar correos electrónicos. Esta carencia permite a un atacante inundar el sistema con solicitudes de correo electrónico, provocando una interrupción del servicio. La solución recomendada es actualizar a una versión corregida de Aspera Shares.
Un atacante autenticado puede explotar esta vulnerabilidad enviando un gran volumen de correos electrónicos a través de Aspera Shares. Esto puede sobrecargar el servidor de correo electrónico, agotando sus recursos y provocando una denegación de servicio para los usuarios legítimos. El impacto principal es la indisponibilidad del servicio de Aspera Shares, lo que puede afectar a la transferencia de archivos y la colaboración entre usuarios. Aunque la severidad es baja, la interrupción del servicio puede tener consecuencias significativas para las operaciones empresariales, especialmente si Aspera Shares es un componente crítico de la infraestructura de transferencia de datos.
La vulnerabilidad CVE-2025-66487 fue publicada el 1 de abril de 2026. No se ha reportado explotación activa en entornos reales. La probabilidad de explotación se considera baja debido a la necesidad de acceso autenticado al sistema Aspera Shares. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations utilizing IBM Aspera Shares for file transfer and collaboration, particularly those relying on its email notification features, are at risk. Environments with weak authentication controls or shared accounts increase the potential for exploitation.
disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-66487 es actualizar a una versión de IBM Aspera Shares que incluya la corrección. Si la actualización no es inmediatamente posible, se pueden implementar medidas temporales como la configuración de reglas de firewall para limitar el número de solicitudes de correo electrónico que se pueden enviar desde una sola dirección IP. También se puede considerar la implementación de un sistema de colas de correo electrónico para gestionar el volumen de mensajes y evitar la sobrecarga del servidor. Después de la actualización, verificar que la limitación de frecuencia de envío de correos electrónicos esté correctamente implementada.
Actualice IBM Aspera Shares a una versión posterior a la 1.11.0 para corregir la vulnerabilidad de limitación de frecuencia de correo electrónico. Esto evitará el posible desbordamiento de correo electrónico y la denegación de servicio.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66487 is a denial-of-service vulnerability in IBM Aspera Shares versions 1.9.9 through 1.11.0, allowing authenticated users to flood the system with emails.
You are affected if you are running IBM Aspera Shares versions 1.9.9 through 1.11.0 and have not applied the available fix.
Upgrade to a patched version of IBM Aspera Shares as soon as it becomes available. Implement rate limiting on email sending as an interim measure.
There is currently no evidence of active exploitation, but the vulnerability remains present in unpatched systems.
Refer to the official IBM Security Bulletin for CVE-2025-66487 once published on the IBM Security Support website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.