检测

IBM WebSphere eXtreme Scale 8.6.1.0 < 8.6.1.6 (7267689)

medium Nessus 插件 ID 303926

语言:

简介

远程 Web 应用程序服务器受到多个漏洞的影响

描述

远程主机上安装的 IBM WebSphere eXtreme Scale 版本低于 8.6.1.6。因此,它受到公告 7267689 中提及的多个漏洞影响。

 - 在 0.2.0 版本之后的 Eclipse OMR 端口库组件中,用于返回所有受支持处理器功能文本名称的 API 函数未将处理器功能之间插入的分隔符纳入考量。如果未能正确计算提供给此函数的输出缓冲区大小,倘若在判断何时向缓冲区写入数据时未能将分隔符纳入考量,便有可能导致缓冲区溢出。此问题已在 Eclipse OMR 0.8.0 版本中修复。(CVE-2026-1188)

 - Oracle Java SE 的 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品中存在漏洞(组件:Security)。支持的版本中受影响的是 Oracle Java SE:8u471、8u471-b50、8u471-perf、11.0.29、17.0.17、21.0.9、25.0.1;Oracle GraalVM for JDK:17.0.17 和 21.0.9;
 Oracle GraalVM Enterprise Edition:21.3.16。此漏洞较容易受到攻击,其允许未经身份验证的攻击者通过多种协议进行网络访问,从而破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞进行攻击会导致攻击者在未经授权的情况下造成 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 挂起或频繁出现重复性崩溃(完整 DOS)。注意:此漏洞适用于需加载并运行不可信代码(如来自互联网的代码)且安全性依赖于 Java 沙盒的 Java 部署,该部署通常在需在沙盒中运行 Java Web Start 应用程序或需在沙盒中运行 Java 小程序的客户端上。此漏洞不适用于仅加载并运行可信代码(如管理员安装的代码)的 Java 部署,此部署通常存在于服务器上。(CVE-2026-21945)

 - Oracle Java 21 中存在一个服务器端盲目请求伪造 (SSRF) 漏洞。若将非默认系统属性 com.sun.security.enableAIAcaIssuers 设置为 true,x509 证书路径验证机制中存在可导致拒绝服务 (DoS) 的漏洞。(CVE-2026-21945)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

请参阅供应商公告,以了解详细信息。

另见

https://www.ibm.com/support/pages/node/7267689

插件详情

严重性: Medium

ID: 303926

文件名: ibm_websphere_xs_7267689.nasl

版本: 1.1

类型: Local

代理: unix

系列: Web Servers

发布时间: 2026/3/27

最近更新时间: 2026/3/27

配置: 启用偏执模式

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-1188

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

风险因素: Medium

Base Score: 6.9

Threat Score: 2.7

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L

漏洞信息

CPE: cpe:/a:ibm:websphere_extreme_scale

必需的 KB 项: Settings/ParanoidReport, installed_sw/IBM WebSphere eXtreme Scale

易利用性: No known exploits are available

补丁发布日期: 2026/3/26

漏洞发布日期: 2026/1/20

参考资料信息

CVE: CVE-2026-1188, CVE-2026-21925, CVE-2026-21932, CVE-2026-21933, CVE-2026-21945