IBM - CVE-2026-9072

Date de publication :

Il s'agit d'une vulnérabilité dans le composant WebSphere WebServer Plug-in d'IBM WebSphere Application Server et d'IBM WebSphere Application Server Liberty, lorsque la fonctionnalité Intelligent Management est activée.

IBM i est un système d'exploitation propriétaire IBM pour serveurs de la gamme Power, intégrant nativement des capacités applicatives et de base de données. IBM WebSphere Application Server et sa variante Liberty sont des serveurs d'applications Java EE orientés entreprise, déployés dans des environnements nécessitant une haute disponibilité.

Un attaquant en mesure d'effectuer une attaque de type man-in-the-middle peut usurper l'identité des serveurs backend et transmettre des réponses HTTP craftées au plug-in. Ces réponses déclenchent un traitement non sécurisé au niveau du plug-in, conduisant à une injection de code.

Elle permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service sur les systèmes affectés.

CVE-2026-9072

[Score CVSS v3.1 : 8.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

•   Exécution de code arbitraire (à distance)
•   Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-94 : Improper Control of Generation of Code ('Code Injection')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   IBM i versions 7.3 jusqu'à 7.6 (avec composant 5770-SS1 Option 3)
•   IBM WebSphere Application Server et IBM WebSphere Application Server Liberty (versions affectées non précisées dans le bulletin IBM i ; se référer au bulletin WebSphere dédié)

Solutions ou recommandations

•   IBM i 7.6 : application du PTF SJ10122
•   IBM i 7.5 : application du PTF SJ10121
•   IBM i 7.4 : application du PTF SJ10120
•   IBM i 7.3 : application du PTF SJ10119

Liens