IBM は 6 月初旬、WebSphere Application Server 8.5 系と 9.0 系で CVSS 9 級の脆弱性 3 件を同日に公開しました。認証なりすまし 1 件と遠隔コード実行 2 件の組み合わせで、攻撃者は正規利用者になりすました上でサーバ制御権を奪える危険があります。
主なポイント
- CVE-2026-8644 (CVSS 9.1) — Authentication Bypass by Spoofing。正規ユーザーの ID を成りすませる入口の脆弱性
- CVE-2026-9311 (CVSS 9.0) — セキュリティ制御の回避に起因する Code Injection 経由の RCE
- CVE-2026-9319 (CVSS 9.0) — JAX-WS / WS-Security 経由の Untrusted Data 逆シリアライズによる RCE
- 3 件は同時公開され、入口 (8644) と RCE (9311 / 9319) を組み合わせると完全なサーバ侵害が成立
- IBM は 3 件すべてに修正を提供済み。本番稼働の WebSphere は単一のメンテナンス窓で一括適用が推奨される