0x00 前言
WebSphere 是 IBM 推出的一系列应用服务器和中间件产品的统称,主要用于构建、部署和管理企业级 Java 应用程序及服务,在大型企业级 IT 架构中具有广泛应用。
作为 Java EE(现已更名为 Jakarta EE)标准的实现之一,WebSphere 为企业提供了开发、测试、部署和运行 Java 应用的完整环境,支持 Servlet、JSP、EJB、Web Services 等技术规范,可处理高并发、复杂业务逻辑的企业级应用。
不仅是应用服务器,还包含消息队列(如 WebSphere MQ)、事务管理、集群管理、安全性框架等功能,可连接数据库、遗留系统及第三方服务,实现企业 IT 资源的整合。
0x01 漏洞描述
由于WebSphere Application Server对用户输入的数据验证存在缺陷,未经身份验证的攻击者可通过构造恶意的序列化数据,从而在目标系统上执行任意代码。
0x02 CVE编号
CVE-2025-36038
0x03 影响版本
8.5.0.0 <= WebSphere Application Server <= 8.5.5.279.0.0.0 <= WebSphere Application Server <= 9.0.5.24WebSphere Service Registry and Repository = 8.5
0x04 漏洞详情
https://www.ibm.com/support/pages/node/7237824
0x05 参考链接
https://www.ibm.com/support/pages/node/7237824
原文始发于微信公众号(信安百科):CVE-2025-36038|WebSphere Application Server远程代码执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论