IBM发布紧急补丁修复Jazz Team Server高危漏洞（CVE-2025-36157）

IBM已发布安全公告，修复其Jazz Team Server中的高危漏洞。该基于Java的Web应用是IBM工程生命周期管理（ELM）套件多款产品的底层支撑。此漏洞编号为CVE-2025-36157，CVSS评分达9.8分，对依赖该工具的企业构成严重风险。

IBM声明：“Jazz Team Server可能允许未经认证的远程攻击者更新服务器配置文件，从而执行未授权操作，最终导致拒绝服务状态。”

受影响产品及版本

波及范围涵盖下列IBM ELM产品：

1. IBM Engineering Lifecycle Management – Jazz Foundation
2. IBM Engineering Workflow Management
3. IBM Engineering Test Management
4. IBM Engineering Requirements Management DOORS Next
5. IBM Engineering Lifecycle Optimization – Engineering Insights
6. IBM Engineering Systems Design Rhapsody – Model Manager
7. IBM Jazz Reporting Service
8. Global Configuration Management

受影响版本具体包括：

7.0.2至7.0.2 iFix035 | 7.0.3至7.0.3 iFix018 | 7.1.0至7.1.0 iFix004

IBM紧急呼吁用户行动：“强烈建议立即通过升级至以下iFix修复漏洞”：

1. 7.0.2版本 → 安装 7.0.2 iFix035-sec 或更高版本
2. 7.0.3版本 → 安装 7.0.3 iFix018-sec 或更高版本
3. 7.1.0版本 → 安装 7.1.0 iFix004-sec 或更高版本

使用ELM 7.0、7.0.1或更早版本者需先升级至7.0.2+版本再应用补丁。

除安装补丁外，管理员需执行：在 Jazz Team Server (JTS) > Server Administration > Advanced property 页面，

将高级属性 setup.isRegistrationHandlerServiceOpen 设为 False 并保存。

Jazz Team Server作为IBM ELM生态核心，集成工作流管理、测试管理等关键服务。该漏洞允许攻击者在无凭证状态下直接篡改服务器配置文件，可能导致服务瘫痪或依赖系统连锁受损。