IBM Concert सॉफ्टवेयर में कई कमजोरियाँ

IBM Concert (संस्करण 1.0.0 से 2.2.0) में CVE-2025-13044 स्थानीय उपयोगकर्ताओं को मनमाना फ़ाइलों की अखंडता से समझौता करने की अनुमति देता है। इस समस्या का कारण अनुमानित नामों वाली अस्थायी फ़ाइलें बनाना है। एक हमलावर प्रतीकात्मक लिंक हमले के माध्यम से इसका फायदा उठा सकता है, सिस्टम को दुर्भावनापूर्ण डेटा के साथ महत्वपूर्ण फ़ाइलों को ओवरराइट करने के लिए धोखा दे सकता है। यह भेद्यता डेटा हानि, अनधिकृत कोड निष्पादन या सेवा से इनकार का कारण बन सकती है, जो समझौता की गई फ़ाइलों पर निर्भर करता है। CVSS गंभीरता 6.2 है, जो मध्यम से उच्च जोखिम का संकेत देती है। इस जोखिम को कम करने के लिए IBM द्वारा प्रदान किए गए सुरक्षा अपडेट को लागू करना महत्वपूर्ण है।

Systems administrators managing IBM Concert deployments are at risk. Specifically, environments with weak file system permissions or where local user accounts have excessive privileges are particularly vulnerable. Shared hosting environments running IBM Concert are also at increased risk due to the potential for cross-tenant exploitation.

• linux / server:

find /opt/ibm/concert/tmp -type l -print # Check for symlinks in Concert's temporary directory
journalctl -u ibm-concert | grep -i 'temporary file'

1. 2026-04-07Disclosure

   disclosure

1. आरक्षित2025-11-11
2. प्रकाशित2026-04-07
3. EPSS अद्यतन2026-04-14

CVE-2025-13044 को संबोधित करने के लिए अनुशंसित समाधान IBM Concert को संस्करण 2.2.1 या बाद में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो अनुमानित नामों वाली अस्थायी फ़ाइलों के निर्माण को रोकता है, इस प्रकार प्रतीकात्मक लिंक हमले की संभावना को समाप्त करता है। इसके अतिरिक्त, महत्वपूर्ण फ़ाइलों और निर्देशिकाओं तक केवल अधिकृत उपयोगकर्ताओं की पहुंच सुनिश्चित करने के लिए सिस्टम सुरक्षा नीतियों की समीक्षा करें। सख्त एक्सेस नियंत्रण लागू करना और सिस्टम गतिविधि की निगरानी करने से संभावित हमलों का पता लगाने और रोकने में मदद मिल सकती है। इस अपडेट को समय पर लागू करना इस भेद्यता से IBM Concert सिस्टम की सुरक्षा के लिए आवश्यक है।