Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La falla ocurre debido a la deserialización insegura de datos no confiables (CWE‑502). Al procesar objetos Java serializados maliciosos, WebSphere puede invocarlos durante la deserialización, permitiendo la ejecución remota de código y comprometiendo confidencialidad, integridad y disponibilidad del sistema
Recursos afectados
- IBM WebSphere Application Server 9.0.0.0 – 9.0.5.24
- IBM WebSphere Application Server 8.5.0.0 – 8.5.5.27
- También reportado en WebSphere Service Registry & Repository 8.5 (incluye WAS)
Solución
- Aplicar el fix pack 9.0.5.25 (disponible en 3° trim. 2025) o instalar el interim fix PH66674 (WAS 9.0.5.15 – 9.0.5.24)
- Para la versión 8.5, instalar fix pack 8.5.5.28 o interim fix PH66674 (8.5.5.23 – 27) .
- A partir del 30 de junio, los parches ya están disponibles .
Recomendaciones
- Actualizar inmediatamente cualquier entorno afectado.
- En entornos críticos, aplicar interim fix mientras se espera el fix pack.
- Restringir el acceso de red al servidor WAS (p. ej., mediante firewall o segmentación).
- Monitorear logs de deserialización, actividad inusual en puertos/servicios.
- Revisar y endurecer prácticas de deserialización en aplicaciones Java conectadas.
Referencias