CVE-2026-13759
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
IBM WebSphere Extreme Scale 8.6.1.0 do 8.6.1.6 zawiera trzy podklasy ObjectInputStream (WsObjectInputStream, ObjectStreamPool$ReusableInputStream, ObjectInputStreamResolver), które nie instalują filtra klas JEP-290. Gdy Coherence znajduje się na ścieżce klas, potwierdzono działanie wielu łańcuchów gadżetów RCE, w tym RemoteConstructor.readResolve i PriorityQueue/ExtractorComparator, umożliwiając atakującemu po zalogowaniu (poprzez zapis atrybutu sesji) lub atakującemu w sąsiedztwie sieci LAN (poprzez przewód replikacji siatki) wykonanie dowolnego kodu na innych JVM WAS.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie kodu (RCE) na serwerach WebSphere, co może prowadzić do pełnego przejęcia kontroli nad aplikacjami i danymi, a także do rozprzestrzenienia się ataku w obrębie klastra.
Rekomendacja
Należy natychmiast zaktualizować IBM WebSphere Extreme Scale do wersji 8.6.1.7 lub nowszej, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsów zarządzania i sieci replikacji oraz monitorowanie podejrzanych aktywności.
Oryginalny opis (angielski, źródło NVD)
IBM WebSphere Extreme Scale 8.6.1.0 through 8.6.1.6 ships three ObjectInputStream subclasses (WsObjectInputStream, ObjectStreamPool$ReusableInputStream, ObjectInputStreamResolver) that install no JEP-290 class filter; when Coherence is on the classpath, multiple RCE gadget chains including RemoteConstructor.readResolve and PriorityQueue/ExtractorComparator are confirmed working, allowing a post-login attacker who can write a session attribute or a LAN-adjacent attacker on the grid replication wire to execute arbitrary code on peer WAS JVMs

