Se han lanzado actualizaciones de seguridad que corrigen tres vulnerabilidades críticas en productos IBM WebSphere. Un actor malicioso podría eludir los mecanismos de autenticación o ejecutar código remoto arbitrario en los sistemas afectados.
Productos afectados
Servidor de aplicaciones IBM WebSphere:
- 9.0.x, versiones anteriores a 9.0.5.29
- 8.5.x, versiones anteriores a 8.5.5.30
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-8644: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de omisión de autenticación debido a errores en la lógica de manejo de identidades. El servidor acepta material de identidad proporcionado por el cliente sin realizar las comprobaciones criptográficas o contextuales necesarias. Un actor malicioso remoto no autenticado podría aprovechar esta condición para suplantar identidades legítimas y realizar acciones no autorizadas en interfaces administrativas o aplicaciones alojadas.
CVE-2026-9319: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código provocada por fallas de deserialización de datos no confiables en los puntos finales JAX-WS que exponen el procesamiento de WS-Security. Un actor malicioso remoto no autenticado podría enviar mensajes especialmente diseñados que contengan objetos Java serializados maliciosos en los encabezados de seguridad.
CVE-2026-9311: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código en los mecanismos internos del servidor web debido a la omisión de controles de seguridad. Un actor malicioso remoto con conectividad de red a los puertos de administración o conectores podría explotar de forma no autenticada esta debilidad comprometiendo la confidencialidad, integridad y disponibilidad del servidor.
.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias