IBM身份验证系统曝3个高危漏洞，10.0-11.0版本全中招

全球超过5000家企业正在用的身份验证系统，突然被安全研究人员扒出3个高危漏洞。攻击者不需要账号密码，就能直接溜进你的后台看数据——这不是钓鱼邮件，是IBM官方自己盖章确认的漏洞。

HTTP请求走私：代理服务器的"左右互搏"

最棘手的漏洞藏在最不起眼的地方：反向代理处理流量时的"双标"行为。

编号CVE-2026-2862和CVE-2026-1491的这对漏洞，CVSS评分5.3，属于HTTP请求走私（HTTP Request Smuggling）。简单说，攻击者给代理服务器发一段"模棱两可"的请求，前端代理和后端服务器对这段请求的理解不一致——一个说"这是A"，一个说"这是B"。

这种"左右互搏"会让恶意请求像特洛伊木马一样混进内部网络。远程攻击者无需任何身份验证，就能让代理服务器把内部流量暴露出来，悄无声息地绕过所有安全检查。

IBM安全公告里的描述很直白：攻击者可以"silently bypass security checks and gain unauthorized access to highly sensitive user data"（静默绕过安全检查，未经授权访问高度敏感的用户数据）。没有弹窗告警，没有登录失败记录，你的审计日志里可能根本找不到这次入侵的痕迹。

内存溢出：一个算错数字就能让系统崩溃

另一个漏洞更底层——系统在读取处理器特性时，连缓冲区大小都算错了。

这个内存溢出漏洞的危险之处在于连锁反应：攻击者触发溢出后，可能导致完整的系统沦陷。身份验证系统通常是企业安全架构的核心枢纽，一旦被攻破，攻击者拿到的不是某个应用的权限，而是整个身份体系的控制权。

IBM Verify Identity Access和Security Verify Access这两个产品线，版本号从10.0到11.0.2全部受影响，包括容器化部署版本。这意味着无论你是传统虚拟机用户，还是上了Kubernetes的云原生架构，都在打击范围内。

公告里还提到了另外几个需要优先处理的漏洞：CVE-2026-1343（服务器端请求伪造，SSRF）、CVE-2025-12635（跨站脚本攻击，XSS），以及多个Java SE资源消耗漏洞。XSS能让攻击者在管理员浏览器里执行恶意脚本，SSRF则可以把你的身份验证服务器变成攻击内网的跳板。

没有临时补丁，只有立即升级

IBM安全团队这次没有给任何"缓兵之计"——官方明确表示不存在可用的变通方案或缓解措施。

企业只有两个选择：要么立即打补丁，要么继续裸奔。补丁版本已经发布：IBM Verify Identity Access需要升级到v11.0.2 IF1，IBM Security Verify Access需要v10.0.9.1 IF1。容器用户必须从官方镜像仓库拉取最新版本。

身份验证系统的特殊性在于，它本身就是"看门人"。一旦看门人被打穿，攻击者拿到的不是某间房的钥匙，而是整栋楼的万能门禁卡。更麻烦的是，这类系统的升级往往需要计划内停机，而很多企业为了7×24小时可用性，补丁周期一拖再拖。

IBM这次把漏洞细节公开得相当彻底，包括具体的技术原理和攻击路径。这种做法对防御方是利好——安全团队可以针对性检测异常流量模式，比如监控HTTP请求走私特有的畸形请求特征。但另一方面，攻击者拿到同样详细的信息后，武器化利用的时间窗口也在缩短。

你的身份验证系统上次升级是什么时候？如果版本号还在10.0到11.0.2之间，现在可能该去检查一下补丁队列了。