2026-3053: IBM WebSphere Application Server: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2026-07-03 15:12)
- Neues Advisory
Betroffene Software
Middleware
Server
Betroffene Plattformen
IBM
Apple
Linux
Microsoft
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um zwei Cross-Site-Scripting (XSS)-, zwei Server-Side-Request-Forgery (SSRF)- und mehrere Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Für IBM WebSphere Application Server Versionen 9.0.0.0 bis einschließlich 9.0.5.28 sowie 8.5.0.0 bis einschließlich 8.5.5.30 stehen die Interims-Fixes PH71670 und PH71756 zur Verfügung, um die Schwachstellen zu beheben.
Zur Behebung der Schwachstellen in IBM WebSphere Application Server Liberty stehen die Interim-Fixes PH71585, PH71841 (nur erforderlich für System, die 'adminCenter-1.0 verwenden) sowie PH71873 (nur erforderlich für Systeme, die 'apiDiscovery-1.0' verwenden) für die Versionen 17.0.0.3 bis einschließlich 26.0.0.7 zur Verfügung.
Alternativ verweist der Hersteller auf die geplanten Fix Packs 26.0.0.8 für IBM WebSphere Application Server Liberty (3. Quartal 2026), 9.0.5.29 für IBM WebSphere Application Server 9.0 (3. Quartal 2026) sowie 8.5.5.31 für IBM WebSphere Application Server 8.5 (3. Quartal 2026), welche die Schwachstellen beheben.
IBM weist darauf hin, dass nach Installation der Interims-Fixes oder des Fix Packs für IBM WebSphere Application Server 8.5 unbedingt zusätzliche Schritte erforderlich sind, die im jeweiligen Paket beschrieben sind.
Schwachstellen:
CVE-2026-11546
Schwachstelle in IBM WebSphere Application Server ermöglicht Server-Side-Request-Forgery (SSRF)-AngriffCVE-2026-11595
Schwachstelle in IBM WebSphere Application Server ermöglicht Ausspähen von InformationenCVE-2026-11708 CVE-2026-11712
Schwachstellen in IBM WebSphere Application Server ermöglichen Cross-Site-Scripting-AngriffeCVE-2026-11714
Schwachstelle in IBM WebSphere Application Server ermöglicht Server-Side Request Forgery (SSRF)-AngriffCVE-2026-50645
Schwachstelle in IBM WebSphere Application Server ermöglicht Denial-of-Service-AngriffCVE-2026-9171
Schwachstelle in IBM WebSphere Application Server ermöglicht Denial-of-Service-AngriffCVE-2026-9322
Schwachstelle in IBM WebSphere Application Server ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.