IBM - CVE-2026-8633

Date de publication :

Il s'agit d'une vulnérabilité dans le composant Web Server Plug-ins d'IBM WebSphere Application Server et WebSphere Application Server Liberty.

IBM WebSphere Application Server est un serveur d'applications Java d'entreprise qui fournit un environnement d'exécution pour les applications web et les services distribués. Le composant Web Server Plug-ins est un module optionnel, installé séparément, qui assure la liaison entre un serveur web frontal (IBM HTTP Server ou Apache) et les instances WebSphere Application Server ou Liberty.

Le plug-in traite les requêtes HTTP entrantes transmises par le serveur web frontal avant de les relayer vers le serveur d'applications. Une requête HTTP spécialement forgée suffit à déclencher une injection de code au niveau du plug-in. Aucune authentification n'est requise et aucune interaction utilisateur n'est nécessaire. Le vecteur d'attaque est entièrement réseau, avec une complexité d'attaque faible.

Elle permet une exécution de code arbitraire à distance sur le système hébergeant le composant plug-in.

CVE-2026-8633

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-94 : Improper Control of Generation of Code ('Code Injection')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   IBM Web Server Plug-ins pour WebSphere Application Server et WebSphere Liberty, versions 9.0.0.0 jusqu'à 9.0.5.27
•   IBM Web Server Plug-ins pour WebSphere Application Server et WebSphere Liberty, versions 8.5.0.0 jusqu'à 8.5.5.29

Solutions ou recommandations

•   Application du correctif intermédiaire Web Server Plug-ins résolvant l'APAR PH71342 (disponible immédiatement pour les branches 8.5 et 9.0)
•   Web Server Plug-ins Fix Pack 9.0.5.28 et supérieures (disponibilité ciblée 2e trimestre 2026)
•   Web Server Plug-ins Fix Pack 8.5.5.30 et supérieures (disponibilité ciblée 3e trimestre 2026)

Liens