Корпорация IBM опубликовала серию бюллетеней безопасности, охватывающих критические и высокие уязвимости в нескольких продуктах. Проблемы затрагивают платформу управления данными Db2 Big SQL на Cloud Pak for Data, решение для управляемой передачи файлов Sterling Connect:Direct Web Services, а также программные стеки WebSphere Hybrid Edition и WebSphere Service Registry and Repository. Большинство уязвимостей позволяют удалённо выполнить произвольный код или вызвать отказ в обслуживании. Для всех продуктов выпущены исправления.
Db2 Big SQL: уязвимости в сторонних библиотеках
Первая группа уязвимостей относится к Db2 Big SQL на Cloud Pak for Data версий 7.6, 7.7, 7.8, 8.2 и 8.3 (до патча 3). Причина - использование устаревших версий библиотек Axios и minimatch.
Уязвимость CVE-2025-62718 в HTTP-клиенте Axios (версии до 1.15.0 и 0.31.0) связана с некорректной обработкой нормализации имён хостов при проверке правил NO_PROXY. Злоумышленник может обойти настройки прокси и направить запросы к локальным адресам (например, localhost. с точкой на конце или IPv6-адрес [::1]). Это приводит к подделке запросов на стороне сервера (SSRF) и потенциальному доступу к защищённым внутренним сервисам. Базовый балл CVSS - 9,9.
В библиотеке minimatch выявлено три уязвимости, связанные с неэффективными регулярными выражениями и избыточной рекурсией. CVE-2026-26996 - отказа в обслуживании (ReDoS) при большом количестве звёздочек в шаблоне. CVE-2026-27903 - неограниченный рекурсивный перебор при наличии нескольких сегментов GLOBSTAR. CVE-2026-27904 - катастрофический возврат при вложенных extglob-выражениях, минимальный шаблон длиной 12 байт вызывает зависание на несколько секунд. Все три получили балл CVSS 7,5 и позволяют удалённо вызвать отказ в обслуживании без аутентификации.
IBM рекомендует обновить Db2 Big SQL до версии 8.3.1 патч 4, доступной в составе IBM Software Hub 5.3.1 патч 4.
Sterling Connect:Direct Web Services: неверная проверка сертификатов
В продукте Sterling Connect:Direct Web Services версий с 6.3.0 до 6.3.0.18 и с 6.4.0 до 6.4.0.7 обнаружены две уязвимости из-за использования устаревшей версии jar-файла spring-boot-autoconfigure. CVE-2026-40971 (балл 9,1) - при подключении к RabbitMQ с настроенным SSL-бандлом Spring Boot не выполняет проверку имени хоста. CVE-2026-40974 (балл 9,8) - аналогичная проблема для подключений к Cassandra. Обе уязвимости приводят к потенциальной компрометации конфиденциальности и целостности данных, а вторая - и к полному нарушению работы системы.
Для устранения необходимо установить версии 6.3.0.19 или 6.4.0.8 соответственно. Пользователям Helm-развёртываний требуется обновить чарт.
WebSphere Hybrid Edition и WebSphere Service Registry and Repository: удалённое выполнение кода и подмена идентификатора
Значительное число уязвимостей затрагивает WebSphere Application Server (WAS), входящий в состав WebSphere Hybrid Edition 5.1 и WebSphere Service Registry and Repository 8.5. Версии WAS - 8.5.5.0-8.5.5.29 и 9.0.0.0-9.0.5.28, а также Liberty 17.0.0.3-26.0.0.5.
CVE-2026-8644 (подмена идентификатора) позволяет атакующему выдать себя за другого пользователя. CVE-2026-9311, CVE-2026-9330 и CVE-2026-9319 - уязвимости удалённого выполнения кода, связанные с использованием JAX-WS конечных точек с WS-Security. Ещё две уязвимости - CVE-2026-8633 (выполнение кода) и CVE-2026-8620 (контрабанда HTTP-запросов) - относятся к опциональному компоненту Web Server Plug-ins для WAS и Liberty. Их эксплуатация возможна при взаимодействии с веб-сервером.
IBM выпустила исправления в виде временных обновлений (APAR). Для Hybrid Edition 5.1 необходимо установить патчи PH71342 (плагины), PH71422 (подмена идентификатора), PH71453 (удалённое выполнение кода, CVE-2026-9311 и CVE-2026-9330) и PH71454 (удалённое выполнение кода, CVE-2026-9319). Для Service Registry and Repository требуется применить соответствующие бюллетени по WAS.
Состояние исправлений и риски
Все перечисленные уязвимости имеют официальные патчи. Организации, использующие указанные версии продуктов, должны как можно скорее установить обновления. Задержка с исправлением повышает риск компрометации инфраструктуры: в случае Db2 Big SQL злоумышленник может обойти прокси и получить доступ к внутренним сервисам, для Sterling Connect:Direct - перехватить незашифрованный трафик, а для WebSphere - выполнить произвольный код на сервере приложений.
Обходных путей для большинства уязвимостей не предусмотрено. Компаниям рекомендуется провести инвентаризацию затронутых систем и внедрить патчи в соответствии с бюллетенями безопасности IBM.
Ссылки
- https://www.ibm.com/support/pages/node/7275252
- https://www.ibm.com/support/pages/node/7275256
- https://www.ibm.com/support/pages/node/7275257
- https://www.ibm.com/support/pages/node/7275305
- https://www.ibm.com/support/pages/node/7275419
- https://www.ibm.com/support/pages/node/7275459
- https://www.ibm.com/support/pages/node/7275462
- https://www.ibm.com/support/pages/node/7275468
- https://www.ibm.com/support/pages/node/7275528
