IBM InfoSphere Information Server speichert Passwörter unverschlüsselt

Mehrere Sicherheitslücken gefährden Systeme mit IBM InfoSphere Information Server und WebSphere Application Server Liberty. Angreifer können unter anderem unverschlüsselte Passwörter einsehen.

Softwareschwachstellen schließen

Am gefährlichsten gilt eine „kritische“ Lücke (CVE2026-24400), durch die es bei der Verarbeitung von XML-Eingaben zu Fehlern kommt. Das resultiert in Abstürzen (DoS). Weil InfoSphere Information Server Passwörter im Klartext speichert (CVE-2025-36258 „hoch“), können lokale Angreifer ungehindert darauf zugreifen.

An weiteren Stellen können zusätzlich Daten leaken (etwa CVE-2025-14790 „mittel“). Außerdem kann es zu XSS-Attacken kommen (etwa CVE-2026-2483 „mittel“). Um Systeme vor möglichen Angriffen zu schützen, müssen Admins IBM InfoSphere Information Server version 11.7.1.0, 11.7.1.6 oder 11.7.1.6 Service pack 2 installieren.

Warten auf Sicherheitsupdates

IBM WebSphere Application Server Liberty ist insgesamt über vier Lücken angreifbar. Darunter etwa eine Prototype-Pollution-Schwachstelle (CVE-2026-29063 „hoch“). Angreifer können sich aber auch über einen nicht näher ausgeführten Weg höhere Nutzerrechte verschaffen (CVE-2025-14915 „mittel“).

Dagegen gibt es aber IBM zufolge noch keine Sicherheitsupdates. Diese sollen im 2. Quartel folgen. Bis dahin müssen Admins Systeme über in den folgenden Warnmeldungen verlinkten Zwischenlösungen schützen. Bislang gibt es seitens IBM keine Hinweise auf laufende Attacken.

(des)