IBM corrige RCE sem autenticação no plug-in do WebSphere com nota 9,8 (CVE-2026-8633)

A IBM divulgou em 26 de maio uma vulnerabilidade de execução remota de código sem autenticação no Web Server Plug-ins para WebSphere Application Server e WebSphere Liberty. A CVE-2026-8633 leva nota 9,8 no CVSS e atinge as versões 8.5 e 9.0, segundo o aviso da própria IBM, o que coloca em risco a camada que fica na porta de entrada de muitos sistemas corporativos.

Código arbitrário a partir de uma requisição

O registro da IBM é direto: uma requisição especialmente forjada permite execução remota de código no plug-in do servidor web. A classificação é CWE-94, injeção de código, e o vetor CVSS confirma o pior arranjo possível: ataque pela rede (AV:N), baixa complexidade (AC:L), nenhum privilégio (PR:N) e nenhuma interação do usuário (UI:N), com impacto alto em confidencialidade, integridade e disponibilidade. Não há senha a roubar nem clique a induzir; basta enviar a requisição certa.

O detalhe que eleva a gravidade é onde o componente vive. O Web Server Plug-in é a peça que conecta o servidor HTTP da frente, tipicamente IHS ou Apache, aos servidores de aplicação WebSphere no fundo. Ele costuma ficar na borda, recebendo tráfego da internet antes de qualquer lógica de autenticação da aplicação. Uma RCE pré-autenticação nesse ponto entrega ao atacante um pé dentro da rede no exato lugar por onde passa o tráfego legítimo.

Não foi a única correção crítica que a IBM publicou no dia. A CVE-2026-3660, no Engineering Lifecycle Management 7.0.3, 7.1.0 e 7.2.0, também recebeu 9,8 e descreve um atacante remoto sem autenticação capaz de alterar arquivos de propriedade do servidor para obter acesso indevido à aplicação. Dois avisos de mesma severidade no mesmo dia sinalizam um ciclo de manutenção que merece atenção de quem opera o estoque da IBM.

Vale a distinção entre as duas linhas citadas no aviso. O plug-in atende tanto o WebSphere Application Server tradicional quanto o WebSphere Liberty, o runtime mais enxuto que a IBM posiciona para cargas modernas. A falha, portanto, não fica restrita a estoques antigos: alcança também ambientes que as equipes consideram atuais. O componente é o mesmo nos dois mundos, e é ele, e não o servidor de aplicação, que recebe o tráfego primeiro.

O peso do legado no Brasil

WebSphere não é tecnologia da moda, e é justamente por isso que importa. Há quase duas décadas ele sustenta núcleos transacionais em bancos, seguradoras e órgãos públicos brasileiros, em estoques de Java EE que foram crescendo camada sobre camada. Esses sistemas raramente saem do ar para um patch rápido: cada parada precisa de janela, homologação e, com frequência, aprovação de áreas de risco.

Aí mora a tensão desta CVE. A falha pede atualização imediata, e o ambiente onde ela vive é o que mais resiste a mudanças. Para um banco que mantém o front HTTP do internet banking encostado em WebSphere, a equação é desconfortável: o componente exposto à internet é o vulnerável, e o downtime para corrigi-lo cai sobre um serviço que precisa estar disponível. A tentação de empurrar a janela para o próximo ciclo é real, e é exatamente o comportamento que uma RCE pré-autenticação pune.

A conta que não fecha sozinha

Para os times de segurança, a prioridade é mapear onde os Web Server Plug-ins 8.5 e 9.0 estão de fato instalados, porque eles costumam viver em servidores HTTP separados dos servidores de aplicação e escapam dos inventários focados só no WebSphere. Quem não consegue aplicar a correção na janela imediata precisa de mitigação compensatória na borda, seja filtragem no WAF, seja restrição de quais hosts conseguem alcançar o plug-in.

Há uma leitura mais ampla para o C-level de TI. O custo de carregar middleware legado não aparece só na fatura de manutenção; aparece nestes momentos, quando uma falha pré-autenticação obriga a mexer no que ninguém queria tocar. A modernização adiada não some do balanço, ela migra para a coluna de risco operacional, e dias como o 26 de maio são quando essa coluna cobra os juros.