Sicherheitsmechanismen in IBM WebSphere Application Server umgehbar

Angreifer können mehrere Sicherheitslücken in IBM WebSphere Application Server und Business Automation Workflow ausnutzen und im schlimmsten Fall die volle Kontrolle über Systeme erlangen. Sicherheitsupdates schaffen Abhilfe.

Bislang gibt es seitens des Softwareherstellers keine Warnung, dass Angreifer die Lücken bereits ausnutzen. Da beide Anwendungen in Unternehmen zentrale Prozesse bereitstellen und automatisieren, sollten Admins die Sicherheitspatches jedoch zeitnah installieren.

Verschiedene Gefahren

Die meisten Softwareschwachstellen betreffen IBM WebSphere Application Server. Als am gefährlichsten gelten drei „kritische“ Sicherheitslücken (CVE-2026-9311, CVE-2026-9319, CVE-2026-8644).

Im ersten Fall können Angreifer Sicherheitskontrollen umgehen und im Anschluss Schadcode ausführen. Die zweite Lücke betrifft ausschließlich JAX-WS Endpoints mit WS-Security. Aufgrund von unzureichenden Überprüfungen werden eigentlich nicht vertrauenswürdige Daten verarbeitet und so kann Schadcode auf PCs gelangen. Im dritten Fall können sich Angreifer die Rolle eines anderen Nutzers aneignen und dann böse Dinge tun. Durch die verbleibende Schwachstelle (CVE-2026-9330 „hoch“) kann Schadcode schlüpfen. Bis der vollständige Patch IBM zufolge im dritten Quartal erscheint, müssen Admins Instanzen über eine Zwischenlösung in Form eines Interim Fixes absichern.

IBM Business Automation Workflow ist insgesamt über zehn Schwachstellen angreifbar. Hier gilt eine Lücke (CVE-2026-33186) in gRPC-Go als „kritisch“. Damit kann die Authentifizierung umgangen werden. Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 24.0.0-IF009, 24.0.1-IF007, 25.0.0-IF005 und 25.0.1-IF001 gelöst zu haben.

(des)