Katalog CVE

CVE-2026-13772

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

IBM WebSphere Extreme Scale 8.6.1.0 do 8.6.1.6 zawiera podatność w silniku języka zapytań OQL, który bez listy dozwolonych klas rozwiązuje nazwy klas dostarczone przez atakującego za pomocą Class.forName() i wywołuje ich konstruktory w trzech różnych miejscach (SELECT NEW, literały enum oraz komparatory oparte na refleksji). Uwierzytelniony zdalny atakujący, który może wpłynąć na tworzone przez aplikację zapytanie OQL, może wykonać dowolne konstruktory na JVM WAS, a wariant SELECT DISTINCT wykorzystujący spreparowane wartości gridowe uruchamia ten sam gadżet po deserializacji w sposób omijający filtry serializacji JEP-290 na granicach węzłów gridu.

Ocena ryzyka

Ryzyko dla organizacji obejmuje zdalne wykonanie dowolnego kodu przez uwierzytelnionego atakującego, co może prowadzić do przejęcia kontroli nad serwerem WAS, naruszenia poufności i integralności danych oraz przerwania ciągłości działania systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację IBM WebSphere Extreme Scale do wersji 8.6.1.7 lub nowszej, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji należy ograniczyć dostęp do interfejsów umożliwiających wpływanie na zapytania OQL oraz wdrożyć dodatkowe mechanizmy walidacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

IBM WebSphere Extreme Scale 8.6.1.0 through 8.6.1.6 's Object Query Language engine resolves attacker-supplied class names via Class.forName() and invokes their constructors with no allow-list at three distinct sinks (SELECT NEW, enum literals, and reflection-based comparators); an authenticated remote attacker who can influence an application-built OQL query string can execute arbitrary constructors on the WAS JVM, and a SELECT DISTINCT variant using planted grid values fires the same gadget post-readObject in a manner that survives JEP-290 serialization filters across grid node boundaries

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS