DFN-CERT

Advisory-Archiv

2026-3053: IBM WebSphere Application Server: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2026-07-03 15:12)
Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

IBM
Apple
Linux
Microsoft
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um zwei Cross-Site-Scripting (XSS)-, zwei Server-Side-Request-Forgery (SSRF)- und mehrere Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Für IBM WebSphere Application Server Versionen 9.0.0.0 bis einschließlich 9.0.5.28 sowie 8.5.0.0 bis einschließlich 8.5.5.30 stehen die Interims-Fixes PH71670 und PH71756 zur Verfügung, um die Schwachstellen zu beheben.

Zur Behebung der Schwachstellen in IBM WebSphere Application Server Liberty stehen die Interim-Fixes PH71585, PH71841 (nur erforderlich für System, die 'adminCenter-1.0 verwenden) sowie PH71873 (nur erforderlich für Systeme, die 'apiDiscovery-1.0' verwenden) für die Versionen 17.0.0.3 bis einschließlich 26.0.0.7 zur Verfügung.

Alternativ verweist der Hersteller auf die geplanten Fix Packs 26.0.0.8 für IBM WebSphere Application Server Liberty (3. Quartal 2026), 9.0.5.29 für IBM WebSphere Application Server 9.0 (3. Quartal 2026) sowie 8.5.5.31 für IBM WebSphere Application Server 8.5 (3. Quartal 2026), welche die Schwachstellen beheben.

IBM weist darauf hin, dass nach Installation der Interims-Fixes oder des Fix Packs für IBM WebSphere Application Server 8.5 unbedingt zusätzliche Schritte erforderlich sind, die im jeweiligen Paket beschrieben sind.

Schwachstellen:

CVE-2026-11546

Schwachstelle in IBM WebSphere Application Server ermöglicht Server-Side-Request-Forgery (SSRF)-Angriff

CVE-2026-11595

Schwachstelle in IBM WebSphere Application Server ermöglicht Ausspähen von Informationen

CVE-2026-11708 CVE-2026-11712

Schwachstellen in IBM WebSphere Application Server ermöglichen Cross-Site-Scripting-Angriffe

CVE-2026-11714

Schwachstelle in IBM WebSphere Application Server ermöglicht Server-Side Request Forgery (SSRF)-Angriff

CVE-2026-50645

Schwachstelle in IBM WebSphere Application Server ermöglicht Denial-of-Service-Angriff

CVE-2026-9171

Schwachstelle in IBM WebSphere Application Server ermöglicht Denial-of-Service-Angriff

CVE-2026-9322

Schwachstelle in IBM WebSphere Application Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.