CRITICAL🇬🇧 English

CVE-2026-9319

IBM WebSphere Application Server – RCE przez deserializację danych w JAX-WS

CVSS 9.0v3.1pub. 2026-06-01upd. 2026-06-04

IBM WebSphere Application Server w wersjach 9.0 oraz 8.5 jest podatny na zdalne wykonanie kodu (RCE) wskutek deserializacji niezaufanych danych przesyłanych przez endpointy JAX-WS z włączonym WS-Security. Podatność otrzymała ocenę CVSS 9.0 (CRITICAL), co czyni ją priorytetowym zagrożeniem dla środowisk korporacyjnych.

Pokaż oryginał (EN)

IBM WebSphere Application Server 9.0, and 8.5 is vulnerable to potential remote code execution due to deserialization of untrusted data via JAX-WS endpoints with WS-Security.

🤖 Analiza AI
Jak działa

Błąd (CWE-502) polega na tym, że serwer deserializuje dane wejściowe otrzymane przez endpointy JAX-WS bez odpowiedniej weryfikacji ich pochodzenia i zawartości. Atakujący może przesłać spreparowany payload zawierający złośliwy obiekt serializowany, który podczas deserializacji zostanie wykonany w kontekście serwera aplikacji. Wektor ataku jest sieciowy (AV:N), nie wymaga uwierzytelnienia (PR:N) ani interakcji użytkownika (UI:N), choć wymaga spełnienia warunków o podwyższonej złożoności (AC:H). Atak może przekroczyć granicę kontekstu bezpieczeństwa aplikacji (S:C).

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (RCE) na serwerze, co może prowadzić do pełnego przejęcia kontroli nad instancją IBM WebSphere Application Server, kradzieży danych oraz naruszenia integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami – szczegóły dostępne pod adresem: https://www.ibm.com/support/pages/node/7274738

Kogo dotyczy

IBM WebSphere Application Server w wersjach 9.0 oraz 8.5 z aktywną obsługą endpointów JAX-WS i WS-Security

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • IBM Websphere Application Server

    APP
    Ibm
    8.5.0.0 – 8.5.5.30 (bez)9.0.0.0 – 9.0.5.29 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2015-7450CRITICAL9.8⚠ KEVten sam produkt

Serialized-object interfaces in certain IBM analytics, business solutions, cognitive, IT infrastructure, and m...

CVE-2026-11708CRITICAL9.3ten sam produkt

IBM WebSphere Application Server 9.0, and 8.5 is affected by a cross-site scripting vulnerability in the admin...

CVE-2026-11712CRITICAL9.3ten sam produkt

IBM WebSphere Application Server 9.0, and 8.5 is affected by a cross-site scripting vulnerability in the admin...

CVE-2026-8644CRITICAL9.1PL ✓ten sam produkt

IBM WebSphere Application Server — podatność na identity spoofing

CVE-2026-9311CRITICAL9.0PL ✓ten sam produkt

RCE w IBM WebSphere Application Server — ominięcie zabezpieczeń

CVE-2026-9319 — IBM WebSphere Application Server – RCE przez deserializację danych w JAX-WS — CRITICAL 9.0 | CVEbaza.pl