IBM behebt RCE ohne Authentifizierung im WebSphere-Plugin mit Bewertung 9,8 (CVE-2026-8633)
Eine gefälschte Anfrage ermöglicht die Ausführung von Code ohne Authentifizierung in den Web Server Plug-ins von WebSphere 8.5 und 9.0. Am selben Tag veröffentlichte IBM einen weiteren Fehler mit 9,8 im Engineering Lifecycle Management.
IBM hat am 26. Mai eine Sicherheitsanfälligkeit für die remote Codeausführung ohne Authentifizierung in den Web Server Plug-ins für WebSphere Application Server und WebSphere Liberty veröffentlicht. Die CVE-2026-8633 hat eine Bewertung von 9,8 im CVSS und betrifft die Versionen 8.5 und 9.0, laut der entsprechenden Mitteilung von IBM, was die Schicht gefährdet, die vielen Unternehmenssystemen als Eingangstor dient.
Arbiträrer Code durch eine Anfrage
Der Bericht von IBM ist klar: Eine speziell gefälschte Anfrage ermöglicht die remote Codeausführung im Webserver-Plugin. Die Klassifizierung ist CWE-94, Code-Injection, und der CVSS-Vektor bestätigt die schlimmstmögliche Situation: Angriff über das Netzwerk (AV:N), niedrige Komplexität (AC:L), keine Berechtigungen (PR:N) und keine Benutzerinteraktion (UI:N), mit hohem Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Es gibt kein Passwort zu stehlen und keinen Klick zu induzieren; es reicht aus, die richtige Anfrage zu senden.
Das Detail, das die Schwere erhöht, ist, wo sich die Komponente befindet. Das Web Server Plug-in ist das Element, das den Front-HTTP-Server, typischerweise IHS oder Apache, mit den WebSphere-Anwendungsservern im Hintergrund verbindet. Es befindet sich in der Regel am Rand und erhält Internetverkehr, bevor eine Authentifizierungslogik der Anwendung greift. Eine RCE vor der Authentifizierung an diesem Punkt ermöglicht es dem Angreifer, einen Fuß innerhalb des Netzwerks an genau dem Ort zu haben, an dem der legitime Verkehr fließt.
Es war nicht die einzige kritische Korrektur, die IBM an diesem Tag veröffentlicht hat. Die CVE-2026-3660 im Engineering Lifecycle Management 7.0.3, 7.1.0 und 7.2.0 erhielt ebenfalls 9,8 und beschreibt einen nicht authentifizierten Remote-Angreifer, der servereigene Dateien ändern kann, um unbefugten Zugriff auf die Anwendung zu erhalten. Zwei Warnungen mit derselben Schwere an demselben Tag deuten auf einen Wartungszyklus hin, der die Aufmerksamkeit derjenigen erfordert, die den Bestand von IBM verwalten.
Es ist wichtig, den Unterschied zwischen den beiden in der Mitteilung genannten Linien zu beachten. Das Plugin bedient sowohl den traditionellen WebSphere Application Server als auch WebSphere Liberty, das schlankere Runtime, das IBM für moderne Lasten positioniert. Der Fehler beschränkt sich daher nicht auf alte Bestände: Er betrifft auch Umgebungen, die Teams als aktuell erachten. Die Komponente ist in beiden Welten die gleiche, und sie ist es, und nicht der Anwendungsserver, die zuerst den Verkehr erhält.
Das Gewicht des Erbes in Brasilien
WebSphere ist keine modische Technologie, und genau das ist wichtig. Seit fast zwei Jahrzehnten unterstützt sie transaktionale Kerne in Banken, Versicherungen und öffentlichen Einrichtungen in Brasilien, in Java EE-Beständen, die Schicht für Schicht gewachsen sind. Diese Systeme gehen selten für ein schnelles Patch offline: Jeder Stopp benötigt ein Fenster, eine Genehmigung und häufig auch die Genehmigung von Risikobereichen.
Hierin liegt die Spannung dieser CVE. Die Schwachstelle verlangt sofortige Aktualisierung, und die Umgebung, in der sie lebt, ist die resistenteste gegen Veränderungen. Für eine Bank, die den HTTP-Front-End des Internet-Bankings eng mit WebSphere verbunden hat, ist die Gleichung unangenehm: Die exponierte Komponente ist die anfällige, und die Ausfallzeit zur Behebung fällt auf einen Dienst, der verfügbar sein muss. Die Versuchung, das Fenster in den nächsten Zyklus zu verschieben, ist real, und genau dieses Verhalten bestraft eine RCE vor der Authentifizierung.
Die Rechnung, die sich nicht von selbst schließt
Für die Sicherheitsteams besteht die Priorität darin, zu ermitteln, wo die Web Server Plug-ins 8.5 und 9.0 tatsächlich installiert sind, da sie typischerweise auf HTTP-Servern leben, die von den Anwendungsservern getrennt sind und aus Beständen, die nur auf WebSphere fokussiert sind, entkommen. Wer die Korrektur nicht in dem unmittelbaren Fenster anwenden kann, benötigt kompensatorische Mitigation am Rand, sei es durch Filterung im WAF oder durch Einschränkung, welche Hosts auf das Plug-in zugreifen können.
Es gibt eine breitere Perspektive für die IT-C-Level. Die Kosten für das Tragen von Legacy-Middleware erscheinen nicht nur in der Wartungsrechnung; sie zeigen sich in solchen Momenten, wenn eine Schwachstelle vor der Authentifizierung dazu zwingt, das zu ändern, was niemand anfassen wollte. Die aufgeschobene Modernisierung verschwindet nicht aus der Bilanz, sie wandert in die Spalte des operationellen Risikos, und Tage wie der 26. Mai sind, an denen diese Spalte die Zinsen erhebt.