IBM - CVE-2026-9311

Date de publication :

Il s'agit d'une vulnérabilité de contournement de contrôles de sécurité dans IBM WebSphere Application Server versions 8.5 et 9.0.

IBM WebSphere Application Server est un serveur d'applications Java EE édité par IBM. Il sert de socle d'exécution pour les applications d'entreprise et assure la gestion des transactions, la connectivité aux bases de données et l'intégration des services web dans les infrastructures Java.

Un attaquant distant non authentifié peut contourner les mécanismes de protection censés bloquer les entrées malveillantes avant qu'elles n'atteignent un point d'exécution de code sensible. Le contournement permet d'injecter et d'exécuter des commandes ou du code arbitraire directement sur le serveur d'applications via une requête réseau forgée. La complexité d'attaque est élevée en raison des conditions précises à réunir pour déclencher le bypass, mais aucune authentification ni interaction utilisateur ne sont requises.

Elle permet l'exécution de code arbitraire à distance sur le serveur cible.

CVE-2026-9311

[Score CVSS v3.1 : 9.0]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-94 : Improper Control of Generation of Code ('Code Injection')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   IBM WebSphere Application Server versions 9.0.0.0 jusqu'à 9.0.5.28
•   IBM WebSphere Application Server versions 8.5.0.0 jusqu'à 8.5.5.29

Solutions ou recommandations

•   IBM WebSphere Application Server 9.0 : application de l'interim fix résolvant l'APAR PH71453 après mise à niveau vers le fix pack minimal requis, ou mise à jour vers le fix pack 9.0.5.29 et supérieures (disponibilité prévue au 3e trimestre 2026)
•   IBM WebSphere Application Server 8.5 : application de l'interim fix résolvant l'APAR PH71453 après mise à niveau vers le fix pack minimal requis, ou mise à jour vers le fix pack 8.5.5.30 et supérieures (disponibilité prévue au 3e trimestre 2026)

Liens