CRITICAL🇬🇧 English

CVE-2025-36038

RCE w IBM WebSphere Application Server przez niebezpieczną deserializację

CVSS 9.0v3.1pub. 2025-06-25upd. 2025-07-18

IBM WebSphere Application Server w wersjach 8.5 oraz 9.0 jest podatny na zdalne wykonanie kodu (RCE) poprzez wysłanie specjalnie spreparowanej sekwencji serializowanych obiektów. Podatność jest oceniana jako krytyczna (CVSS 9.0) i może zostać wykorzystana bez uwierzytelnienia.

Pokaż oryginał (EN)

IBM WebSphere Application Server 8.5 and 9.0 could allow a remote attacker to execute arbitrary code on the system with a specially crafted sequence of serialized objects.

🤖 Analiza AI
Jak działa

Podatność wynika z niebezpiecznego przetwarzania serializowanych obiektów Java (CWE-502 — deserializacja niezaufanych danych). Atakujący zdalnie przesyła odpowiednio skonstruowaną sekwencję serializowanych obiektów, które po przetworzeniu przez serwer prowadzą do wykonania dowolnego kodu. Atak nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika, natomiast wymaga pewnego stopnia złożoności po stronie atakującego (AC:H).

Skutki

Skuteczne wykorzystanie podatności pozwala zdalnemu atakującemu na wykonanie dowolnego kodu na serwerze z uprawnieniami procesu IBM WebSphere, co może skutkować pełnym przejęciem kontroli nad systemem, naruszeniem poufności, integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dostępne pod adresem: https://www.ibm.com/support/pages/node/7237967

Kogo dotyczy

IBM WebSphere Application Server 8.5 oraz 9.0 działający na systemach HP-UX, Linux, IBM z/OS oraz IBM AIX

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • HP Ux

    OS
    Hp
    wszystkie wersje
  • IBM Aix

    OS
    Ibm
    wszystkie wersje
  • IBM I

    OS
    Ibm
    wszystkie wersje
  • IBM Websphere Application Server

    APP
    Ibm
    8.5 – 8.5.5.28 (bez)9.0 – 9.0.5.25 (bez)
  • IBM Z\/os

    OS
    Ibm
    wszystkie wersje
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
  • Oracle Solaris

    OS
    Oracle
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit