IBM 发布了一份安全公告，披露了影响其多款存储虚拟化产品图形用户界面（GUI）的两个漏洞。这两个漏洞编号分别为 CVE – 2025 – 0159 和 CVE – 2025 – 0160，攻击者有可能借此绕过身份验证，并在受影响的系统上执行任意代码。

CVE – 2025 – 0159 是一个身份验证绕过漏洞，远程攻击者通过发送特制的 HTTP 请求，有可能绕过 RPCAdapter 端点身份验证。该漏洞的通用漏洞评分系统（CVSS）基本评分达 9.1 分，表明其严重程度为 “危急”。

CVE – 2025 – 0160 是一个任意代码执行漏洞。由于 RPCAdapter 服务中的限制措施不当，具备系统访问权限的远程攻击者有可能执行任意 Java 代码。该漏洞的 CVSS 基本评分为 8.1 分，表明其严重程度为 “高”。

受这些漏洞影响的 IBM 存储虚拟化产品及版本如下：

（1）IBM Storage Virtualize，版本 8.5.0.0-8.5.0.13

（2）IBM Storage Virtualize，版本 8.5.1.0、8.5.2.0-8.5.2.3、8.5.3.0-8.5.3.1、8.5.4.0

（3）IBM Storage Virtualize，版本 8.6.0.0-8.6.0.5

（4）IBM Storage Virtualize，版本 8.6.1.0、8.6.2.0-8.6.2.1、8.6.3.0

（5）IBM Storage Virtualize，版本 8.7.0.0-8.7.0.2

（6）IBM Storage Virtualize，版本 8.7.1.0、8.7.2.0-8.7.2.1

IBM 建议用户将受影响版本的 IBM SAN 卷控制器、IBM Storwize V7000、IBM Storwize V5000、V5100 和 V5000E、IBM FlashSystem 5000、5100、5200 和 5300、IBM FlashSystem 7200 和 7300、IBM FlashSystem 9100、9200 和 9500 以及面向公共云的 IBM 存储虚拟化产品，升级至以下代码级别或更高版本：

（1）8.5.0.0 – 8.5.0.13 版本：升级至 8.5.0.14

（2）8.5.1.0、8.5.2.0 – 8.5.2.3、8.5.3.0 – 8.5.3.1、8.5.4.0 版本：升级至 8.6.0.6

（3）8.6.0.0 – 8.6.0.5 版本：升级至 8.6.0.6

（4）8.6.1.0、8.6.2.0 – 8.6.2.1、8.6.3.0 版本：升级至 8.7.0.3

（5）8.7.0.0 – 8.7.0.2 版本：升级至 8.7.0.3

（6）8.7.1.0、8.7.2.0 – 8.7.2.1 版本：升级至 8.7.2.2

强烈敦促用户尽快应用必要的更新，以降低被攻击利用的风险。