IBM WebSphere Application Server w wersjach 9.0 oraz 8.5 jest podatny na zdalne wykonanie kodu (RCE) wskutek deserializacji niezaufanych danych przesyłanych przez endpointy JAX-WS z włączonym WS-Security. Podatność otrzymała ocenę CVSS 9.0 (CRITICAL), co czyni ją priorytetowym zagrożeniem dla środowisk korporacyjnych.
▸ Pokaż oryginał (EN)
IBM WebSphere Application Server 9.0, and 8.5 is vulnerable to potential remote code execution due to deserialization of untrusted data via JAX-WS endpoints with WS-Security.
Błąd (CWE-502) polega na tym, że serwer deserializuje dane wejściowe otrzymane przez endpointy JAX-WS bez odpowiedniej weryfikacji ich pochodzenia i zawartości. Atakujący może przesłać spreparowany payload zawierający złośliwy obiekt serializowany, który podczas deserializacji zostanie wykonany w kontekście serwera aplikacji. Wektor ataku jest sieciowy (AV:N), nie wymaga uwierzytelnienia (PR:N) ani interakcji użytkownika (UI:N), choć wymaga spełnienia warunków o podwyższonej złożoności (AC:H). Atak może przekroczyć granicę kontekstu bezpieczeństwa aplikacji (S:C).
Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (RCE) na serwerze, co może prowadzić do pełnego przejęcia kontroli nad instancją IBM WebSphere Application Server, kradzieży danych oraz naruszenia integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami – szczegóły dostępne pod adresem: https://www.ibm.com/support/pages/node/7274738
IBM WebSphere Application Server w wersjach 9.0 oraz 8.5 z aktywną obsługą endpointów JAX-WS i WS-Security
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HIBM Websphere Application Server
APPIbm8.5.0.0 – 8.5.5.30 (bez)9.0.0.0 – 9.0.5.29 (bez)
Powiązane podatności
Serialized-object interfaces in certain IBM analytics, business solutions, cognitive, IT infrastructure, and m...
IBM WebSphere Application Server 9.0, and 8.5 is affected by a cross-site scripting vulnerability in the admin...
IBM WebSphere Application Server 9.0, and 8.5 is affected by a cross-site scripting vulnerability in the admin...
IBM WebSphere Application Server — podatność na identity spoofing
RCE w IBM WebSphere Application Server — ominięcie zabezpieczeń