CRITICALCVE-2026-1346CVSS 9.3

IBM Verify Identity Access 和 IBM Security Verify Access 中发现安全漏洞

平台

ibm

组件

verify-identity-access

修复版本

11.0.3

10.0.10

11.0.3

10.0.10

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-1346 是一个权限提升漏洞，存在于 IBM Verify Identity Access 和 IBM Security Verify Access 中。攻击者可以利用此漏洞，通过本地认证账户，提升其权限至系统最高级别（root）。受影响的版本包括 IBM Verify Identity Access Container 11.0 through 11.0.2 以及 IBM Security Verify Access Container 10.0 through 10.0.9.1 和 IBM Verify Identity Access 11.0 through 11.0.2 以及 IBM Security Verify Access 10.0 through 10.0.9.1。目前尚未发布官方补丁。

影响与攻击场景

CVE-2026-1346 影响 IBM Verify Identity Access Container (版本 11.0 到 11.0.2) 和 IBM Security Verify Access Container (版本 10.0 到 10.0.9.1)，以及 IBM Verify Identity Access (版本 11.0 到 11.0.2) 和 IBM Security Verify Access (版本 10.0 到 10.0.9.1)。它允许本地身份验证的用户由于进程以不必要的权限运行而提升其权限到 root 级别。攻击者可以利用此漏洞完全控制受影响的系统，从而危及数据和资源的机密性、完整性和可用性。

利用背景

利用此漏洞需要攻击者对受影响的系统具有身份验证访问权限。由于特权提升是通过以过多的权限运行进程来发生的，因此如果攻击者能够以提升的权限运行代码，则他们可以利用此漏洞。潜在影响重大，因为具有 root 权限的攻击者可以完全控制系统。由于没有可用的修复程序，因此风险增加，因此在发布更新之前实施临时缓解措施至关重要。

哪些人处于风险中翻译中…

Organizations utilizing IBM Verify Identity Access in environments with local user authentication are at risk. This includes deployments with legacy configurations, shared hosting environments where multiple users have local access, and those relying on default or poorly configured access controls. Specifically, environments where local accounts have unnecessary privileges are particularly vulnerable.

检测步骤翻译中…

• ibm / server:

# Check for vulnerable versions
grep -r '10.0\|11.0' /opt/IBM/VerifyIdentityAccess/bin/version.sh

• linux / server:

# Audit user privileges and processes running with elevated permissions
sudo -u root ps aux | grep -i 'verifyidentityaccess'

攻击时间线

2026-04-08Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告4 份威胁报告

EPSS

0.01% (0% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件verify-identity-access

供应商IBM

影响范围修复版本

11.0 – 11.0.211.0.3

10.0 – 10.0.9.110.0.10

11.0 – 11.0.211.0.3

10.0 – 10.0.9.110.0.10

弱点分类 (CWE)

CWE-250

时间线

已保留2026-01-22
发布日期2026-04-08
修改日期2026-04-09
EPSS 更新日期2026-04-15

未修复 — 披露已46天

缓解措施和替代方案

目前，IBM 尚未发布此漏洞的修复程序。建议的缓解措施是，在可用时升级到已修补的版本。期间，请应用最小权限原则：将用户和进程的权限限制在其执行任务所需的最低限度。监控系统日志以查找可疑活动也有助于检测和响应潜在攻击。此外，建议审查容器安全配置并应用最佳实践以加强整体安全态势。

修复方法翻译中…

Aplique las actualizaciones de seguridad proporcionadas por IBM para IBM Verify Identity Access Container y IBM Security Verify Access Container a las versiones corregidas disponibles en el sitio de soporte de IBM. Consulte la nota de soporte de IBM (https://www.ibm.com/support/pages/node/7268253) para obtener instrucciones detalladas.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-1346 是什么 — IBM Verify Identity Access 中的漏洞？

IBM Verify Identity Access 和 IBM Security Verify Access 的 11.0 到 11.0.2 版本会受到影响。

IBM Verify Identity Access 中的 CVE-2026-1346 是否会影响我？

没有，IBM 尚未发布此漏洞的修复程序。

如何修复 IBM Verify Identity Access 中的 CVE-2026-1346？

应用最小权限原则，监控系统日志，并在可用时升级到已修补的版本。

CVE-2026-1346 是否正在被积极利用？

攻击者可能会完全控制系统，从而危及数据和资源的机密性、完整性和可用性。

在哪里可以找到 IBM Verify Identity Access 关于 CVE-2026-1346 的官方安全通告？

请参阅 IBM Security 的官方资源，以获取有关 CVE-2026-1346 的最新信息和详细信息。