IBM - CVE-2026-3621
Date de publication :
Il s'agit d'une vulnérabilité dans la gestion des privilèges d'IBM WebSphere Application Server Liberty.
IBM WebSphere Application Server Liberty est un serveur d'applications Java léger. Il est destiné au déploiement d'applications d'entreprise Java EE et Jakarta EE dans des environnements on-premise ou cloud, sur les plateformes AIX, Linux, Windows, z/OS et IBM i.
La vulnérabilité se manifeste uniquement lorsque la fonctionnalité de sécurité applicative (appSecurity) n'est pas activée sur le serveur et qu'une application est déployée sans authentification ni autorisation configurées. Dans ce contexte, un attaquant distant disposant d'un accès réseau peut usurper l'identité d'un autre utilisateur.
Elle permet à un attaquant distant authentifié d'usurper une identité et d'accéder à des ressources protégées sans en avoir les droits légitimes, compromettant la confidentialité et l'intégrité des données traitées par l'application.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-269 : Improper Privilege Management
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
IBM WebSphere Application Server Liberty versions 17.0.0.3 jusqu'à 26.0.0.4
Contournement provisoire
Solutions ou recommandations
• IBM WebSphere Application Server Liberty version 26.0.0.5 et supérieures (disponibilité ciblée T2 2026)