IBM QRadar安全信息和事件管理（SIEM）平台中存在一个严重的权限配置错误，这可能允许本地特权用户在未经授权的情况下操纵配置文件。

该漏洞编号为CVE-2025-0164，源于权限分配不当</b0，其CVSS 3.1基础评分为2.3（AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N）。

Key Takeaways1. CVE-2025-0164 in QRadar SIEM v7.5–7.5.0 UP13 IF01 lets privileged locals alter config files.2. Vulnerability stems from CWE-732 (Incorrect Permission Assignment for Critical Resource).3. Apply UP13 IF02, limit admin access, and watch /opt/qradar/conf.

权限分配错误漏洞

该漏洞源于对关键资源的权限分配不正确（CWE-732），这导致在运行7.5至7.5.0 UP13 IF01版本的QRadar SIEM安装中，未能对配置目录和文件实施适当的访问控制。

拥有现有高级权限的本地用户（例如系统管理员或支持工程师）可以利用有缺陷的文件系统权限来更改关键配置参数、修改日志记录策略或禁用检测规则。

攻击者可以通过对受保护路径调用shell命令来编写自动修改脚本。

这些未授权的更改可能会一直存在，直到通过人工干预得到纠正，并且可能会通过在审计日志中掩盖恶意活动，或者允许在未被察觉的情况下进行进一步的未授权操作，从而阻碍事件响应工作。

缓解措施

为修复CVE-2025-0164，IBM已发布QRadar 7.5.0 UP13 IF02，该版本修正了文件和目录权限，将写入权限仅限制于QRadar服务账户。

管理员应立即通过IBM Fix Central下载更新，在受影响的系统上应用此临时修复程序。

可使用修复ID 7.5.0-QRADAR-QRSIEM-20250904123850INT获取适用的修复程序。对于允许特权用户进行shell级访问的环境，不存在替代解决方案。

作为预防措施，各组织应仅向受信任人员授予本地管理员权限，并监控/opt/qradar/conf目录中的文件系统变化。

保持健全的访问控制和及时的补丁更新对于维护安全监控基础设施的完整性仍然至关重要。