A IBM divulgou três vulnerabilidades no WebSphere Application Server nesta segunda-feira (6 de julho de 2026), incluindo duas falhas críticas de cross-site scripting que permitem sequestrar sessões administrativas. As brechas, batizadas CVE-2026-11712, CVE-2026-11708 e CVE-2026-11595, afetam as versões 8.5 e 9.0 do servidor de aplicações, usado por empresas para hospedar sistemas críticos.

As três vulnerabilidades divulgadas

O aviso oficial da IBM detalha que duas das três falhas residem no sistema de ajuda integrado do console administrativo do WebSphere. Trata-se de cross-site scripting (XSS) decorrente de neutralização inadequada de entradas, classificada como CWE-79, com severidade crítica. Um atacante que consiga induzir um administrador a abrir um link malicioso pode executar scripts no navegador da vítima, sequestrar a sessão e executar ações privilegiadas dentro do console.

A terceira falha é de path traversal (CWE-22) no mesmo componente de ajuda, permitindo que um atacante remoto acesse arquivos restritos do servidor e leia informações sensíveis. Embora o CVSS seja mais baixo, o risco cresce em ambientes onde a interface administrativa fica exposta à internet ou mal protegida.

CVE Tipo CVSS Impacto principal
CVE-2026-11712 XSS (CWE-79) 9.3 Sequestro de sessão administrativa
CVE-2026-11708 XSS (CWE-79) 9.3 Execução de scripts e manipulação de dados
CVE-2026-11595 Path Traversal (CWE-22) 4.3 Leitura de arquivos sensíveis

Como o ataque funciona tecnicamente

As duas falhas XSS exploram o módulo de ajuda embutido no console administrativo do WebSphere. Esse módulo aceita parâmetros na URL sem sanitização adequada, de modo que um atacante monta um link contendo JavaScript malicioso e o entrega à vítima por e-mail ou mensagem. Quando o administrador autenticado clica, o script roda no contexto da sessão ativa e passa a operar com seus privilégios, permitindo criar contas, alterar configurações de segurança ou desabilitar proteções.

A falha de path traversal segue caminho semelhante: ao manipular sequências como ../ nas requisições ao sistema de ajuda, o atacante força o servidor a navegar fora do diretório permitido e devolver arquivos de configuração, chaves ou credenciais armazenadas no disco. O consórcio de certificação HKCERT classificou o conjunto como risco de divulgação de informações sensíveis e bypass de restrições de segurança.

Por que essas falhas preocupam

O WebSphere Application Server é uma plataforma madura e ainda largamente empregada por bancos, seguradoras, indústrias e órgãos públicos para rodar aplicações Java de missão crítica. Por esse motivo, o console administrativo concentra privilégios elevados: quem o controla consegue implantar ou remover aplicações, ajustar conexões com bancos de dados, modificar certificados e alterar políticas de segurança de todo o ambiente. Uma única sessão sequestrada pode abrir caminho para movimentação lateral, roubo de credenciais de banco e pivô para sistemas conectados.

A combinação de XSS crítico com path traversal no mesmo componente amplia a superfície de ataque. O atacante pode primeiro usar o path traversal para mapear arquivos sensíveis e, em seguida, disparar o XSS contra um administrador para executar ações privilegiadas em nome dele. A exploração exige pouca interação do alvo — basta acessar um link manipulado — e funciona mesmo quando o console está atrás de uma rede corporativa, caso o atacante consiga enviar a isca por e-mail ou mensagem interna.

Versões afetadas e correção

As três falhas atingem o WebSphere Application Server nas versões 8.5 e 9.0, largamente adotadas em ambientes corporativos. A IBM liberou correções associadas ao APAR PH71756 e orienta a atualização imediata. Para a versão 9.0, o Fix Pack 9.0.5.29 ou superior resolve o problema; para a 8.5, o caminho é o Fix Pack 8.5.5.31 ou posterior, com fixes intermediários disponíveis e passos pós-instalação específicos detalhados no boletim oficial.

Especialistas reforçam que consoles administrativos são alvo frequente de atacantes, e brechas nesses componentes multiplicam a exposição. Falhas XSS que permitem sequestro de sessão em produtos corporativos já foram vistas em outros avisos recentes da VMware, e vulnerabilidades máximas em servidores de aplicações — como o caso do Adobe ColdFusion — costumam abrir caminho para invasões completas. Equipes de segurança devem, enquanto aplicam o patch, restringir o acesso ao console apenas a redes internas, reforçar a autenticação multifator e monitorar atividades suspeitas em sessões administrativas.

Medidas práticas para reduzir o risco incluem: isolar o console administrativo atrás de VPN ou allowlist de IPs, exigir MFA para todo acesso ao WebSphere, monitorar logs em busca de requisições anômalas ao sistema de ajuda, aplicar os fix packs recomendados pela IBM imediatamente e revisar permissões de contas de serviço após a correção.

Leia também: Apache Tomcat também teve falha crítica de login sem senha; confira como proteger servidores de aplicações contra ataques ao console administrativo.

Fontes