IBM WebSphere Application Server w wersjach 8.5 oraz 9.0 jest podatny na zdalne wykonanie kodu (RCE) poprzez wysłanie specjalnie spreparowanej sekwencji serializowanych obiektów. Podatność jest oceniana jako krytyczna (CVSS 9.0) i może zostać wykorzystana bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
IBM WebSphere Application Server 8.5 and 9.0 could allow a remote attacker to execute arbitrary code on the system with a specially crafted sequence of serialized objects.
Podatność wynika z niebezpiecznego przetwarzania serializowanych obiektów Java (CWE-502 — deserializacja niezaufanych danych). Atakujący zdalnie przesyła odpowiednio skonstruowaną sekwencję serializowanych obiektów, które po przetworzeniu przez serwer prowadzą do wykonania dowolnego kodu. Atak nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika, natomiast wymaga pewnego stopnia złożoności po stronie atakującego (AC:H).
Skuteczne wykorzystanie podatności pozwala zdalnemu atakującemu na wykonanie dowolnego kodu na serwerze z uprawnieniami procesu IBM WebSphere, co może skutkować pełnym przejęciem kontroli nad systemem, naruszeniem poufności, integralności i dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dostępne pod adresem: https://www.ibm.com/support/pages/node/7237967
IBM WebSphere Application Server 8.5 oraz 9.0 działający na systemach HP-UX, Linux, IBM z/OS oraz IBM AIX
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HHP Ux
OSHpwszystkie wersjeIBM Aix
OSIbmwszystkie wersjeIBM I
OSIbmwszystkie wersjeIBM Websphere Application Server
APPIbm8.5 – 8.5.5.28 (bez)9.0 – 9.0.5.25 (bez)IBM Z\/os
OSIbmwszystkie wersjeLinux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersjeOracle Solaris
OSOraclewszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit