IBM 发布了有关高严重性漏洞 CVE-2025-36038 的安全警报,该漏洞会影响 WebSphere Application Server 版本 8.5 和 9.0。CVSS 基本分数为 9.0,此缺陷可能允许通过恶意构建的序列化有效负载执行未经身份验证的远程代码执行 (RCE),从而对企业 Java 应用程序构成严重风险。
根据 IBM 的安全公告:
“IBM WebSphere Application Server 可能允许远程攻击者使用特制的序列化对象序列在系统上执行任意代码。”
如果成功利用此漏洞,则为完全系统入侵打开了大门,因为攻击者可以在不需要事先身份验证的情况下远程注入和运行恶意代码。
此漏洞影响以下 WebSphere Application Server (WAS) 版本:
- 版本 9.0.0.0 到 9.0.5.24
- 版本 8.5.0.0 到 8.5.5.27
这些版本在企业环境中广泛使用,这使得依赖 IBM 中间件开发 Java EE 应用程序的行业存在很大的风险。
IBM 提供了详细的补救说明来缓解此威胁。强烈建议用户立即采取行动。
- 对于版本 9.0:
- 应用 Fix Pack 9.0.5.25 或更高版本(预期可用性:2025 年第 3 季度),或
- 对 APAR PH66674 使用适当的临时修订
- 对于版本 8.5:
- 应用修订包 8.5.5.28 或更高版本(预期可用性:2025 年第 3 季度),或
- 对 PH66674 使用相应的临时修复
发表评论
您还未登录,请先登录。
登录