Корпорация IBM опубликовала комплект бюллетеней безопасности, информирующих о закрытии пяти уязвимостей, затрагивающих WebSphere Application Server версий 8.5 и 9.0, а также среду выполнения Liberty. Наиболее опасная из них позволяет удалённо выполнить код на сервере через SOAP/JMX-коннектор, а три других - осуществлять межсайтовый скриптинг в административной консоли. Дополнительно обнаружен баг, связанный с HTTP-контрабандой запросов (HTTP request smuggling), который также может привести к выполнению произвольного кода. Производитель настоятельно рекомендует применить выпущенные коррекции.
Детали уязвимостей
Первая и самая серьёзная уязвимость получила идентификатор CVE-2026-11536 и оценку 8,8 балла по шкале CVSS v3. Причина - некорректная обработка внешних данных при десериализации (CWE-502) в компоненте SOAP/JMX. Проблема допускает удалённую атаку с высокой сложностью эксплуатации, но для её запуска требуется предварительная аутентификация. В случае успешного использования злоумышленник может инжектировать вредоносный сериализованный объект, что приведёт к полному контролю над атакуемым сервером: чтению, записи и удалению файлов, выполнению команд операционной системы и компрометации смежных систем. Критичность усугубляется тем, что вектор атаки - сетевой, не требующий физического доступа. Под удар попадают все версии WebSphere Application Server 8.5 (с 8.5.0.0 по 8.5.5.29) и 9.0 (с 9.0.0.0 по 9.0.5.28).
Ещё три уязвимости относятся к категории межсайтового скриптинга (XSS) и затрагивают административную консоль. Самая опасная из них - CVE-2026-11707 с оценкой 9,3 балла. Она локализована на странице входа в консоль. Злоумышленник может внедрить вредоносный код, который выполнится в браузере администратора при переходе по сконструированной ссылке. Уязвимость CVE-2026-11594 (8,5 балла) также проявляется в консоли, но не требует аутентификации для отправки запроса, хотя успешная атака завязана на взаимодействие с пользователем. Третья XSS-уязвимость (CVE-2026-11383) менее критична - 5,4 балла, но её особенность в том, что злоумышленник должен иметь минимальные права (запись) в консоли. Во всех трёх случаях код выполняется в контексте сессии администратора, что позволяет похитить сессионные cookie, подменить настройки сервера или украсть учётные данные.
Отдельную проблему представляет уязвимость CVE-2026-11541, связанная с некорректной интерпретацией HTTP-запросов (CWE-444). Она затрагивает не только традиционный WebSphere Application Server, но и среду Liberty. Оценка CVSS - 7,4 балла. Атакующий может отправить специально сформированные HTTP-запросы, которые будут некорректно разобраны сервером. В результате возможно выполнение произвольного кода (через подмену полезной нагрузки) или перехват запроса другого пользователя. Для эксплуатации требуется сетевая доступность сервера и высокая сложность атаки, но аутентификация не нужна. Версии Liberty с 17.0.0.3 по 26.0.0.6 также попадают под удар.
IBM уже выпустила интервальные исправления (Interim Fix) для каждой из перечисленных проблем. Для CVE-2026-11536 коррекция обозначена как APAR PH71714, для трёх XSS-уязвимостей - PH71757, для HTTP-контрабанды - PH71808 (Liberty) и PH71706 (традиционный сервер). Временные меры защиты, как указано в бюллетенях, не предусмотрены - единственный способ избежать риска - установка обновления. Для тех, кто предпочитает дождаться стандартного пакета обновлений, производитель планирует выпуск Fix Pack 9.0.5.29, 8.5.5.30 и 26.0.0.7 в третьем квартале 2026 года.
Компания рекомендует администраторам серверов немедленно перейти на минимальные версии, необходимые для установки интервальных исправлений, и применить соответствующий APAR. Для клиентов, использующих Liberty, наилучшим вариантом будет обновление до фикс-пака 26.0.0.7, когда он станет доступен. Подробные инструкции и ссылки на загрузку опубликованы на портале поддержки IBM (страницы узлов 7277544, 7277546 и 7277550). Ситуация демонстрирует сохраняющуюся уязвимость корпоративных серверов приложений к атакам через устаревшие протоколы управления (SOAP/JMX) и недостатки экранирования пользовательского ввода в интерфейсах управления.
Ссылки
- https://www.ibm.com/support/pages/node/7277544
- https://www.ibm.com/support/pages/node/7277546
- https://www.ibm.com/support/pages/node/7277550
