IBM OpenPages 漏洞致攻击者窃取认证凭据

据Cybersecuritynews消息，IBM OpenPages治理、风险与合规（GRC）平台的8.3和9.0版本被发现存在多个高危漏洞，攻击者可借此劫持用户会话、窃取认证凭据、篡改关键数据。 在众多漏洞中，CKEditor 5组件的CVE-2024-45613能通过恶意剪贴板内容进行跨站脚本攻击，进而窃取会话cookie；CVE-2024-49779可绕过CSRF保护，实现特权角色间横向移动；邮件通知系统的CVE-2024-49337能在邮件中注入HTML代码实施网络钓鱼，CVE-2024-49782则因证书验证失败，让攻击者伪造邮件服务器窃取敏感信息。IBM已于2025年2月发布修复补丁。