IBM ha revelado una vulnerabilidad de seguridad crítica en su ecosistema WebSphere Application Server. Este fallo, identificado como CVE-2026-8633, podría permitir que atacantes ejecuten código arbitrario mediante el uso de solicitudes HTTP especialmente diseñadas. El problema afecta específicamente a los entornos que utilizan el componente opcional de Web Server Plug-ins, lo que aumenta considerablemente el riesgo para las implementaciones empresariales que dependen de la infraestructura de WebSphere.

IBM ha revelado una vulnerabilidad de seguridad crítica en su ecosistema WebSphere Application Server que podría permitir a los atacantes ejecutar código arbitrario mediante solicitudes HTTP especialmente diseñadas.

El fallo, identificado como CVE-2026-8633, afecta a los entornos que utilizan el componente opcional Web Server Plug-ins, lo que eleva significativamente el riesgo para los despliegues empresariales que dependen de la infraestructura de WebSphere.

La vulnerabilidad ha recibido una puntuación CVSS de 9.8, lo que resalta su gravedad crítica. No requiere autenticación y puede explotarse de forma remota, permitiendo que los atacantes tomen el control total de los sistemas afectados.

Una explotación exitosa podría resultar en un compromiso total, afectando la confidencialidad, la integridad y la disponibilidad.

Dada la amplia adopción de WebSphere en redes gubernamentales y empresariales, se considera que la exposición es muy significativa.

Vulnerabilidad de RCE en IBM WebSphere

La causa raíz del problema radica en el control inadecuado de la generación de código, categorizado bajo CWE-94. Esta debilidad permite que los atacantes inyecten cargas maliciosas en el sistema a través de solicitudes HTTP manipuladas.

Una vez procesadas por los Web Server Plug-ins vulnerables, estas solicitudes pueden activar la ejecución remota de código.

Además, el fallo introduce el riesgo de contrabando de solicitudes HTTP (HTTP request smuggling), lo que permite a los atacantes evadir los mecanismos de seguridad y manipular las comunicaciones del backend.

El CVE-2026-8633 afecta específicamente a los IBM Web Server Plug-ins utilizados tanto en despliegues tradicionales de WebSphere Application Server como en WebSphere Liberty.

Las versiones afectadas incluyen WebSphere Application Server 8.5 y 9.0, así como WebSphere Liberty 8.5 y 9.0, junto con sus versiones correspondientes de plug-ins.

Debido a que estos plug-ins se utilizan comúnmente para enrutar solicitudes entre los servidores web y los servidores de aplicaciones, su explotación podría proporcionar a los atacantes una vía directa hacia los sistemas del backend.

IBM ha publicado una guía de remediación y recomienda encarecidamente tomar medidas inmediatas. Se aconseja a las organizaciones aplicar las correcciones provisionales que abordan el APAR PH71342 tras actualizar a los niveles mínimos de fix pack requeridos.

Para los entornos de WebSphere 9.0, debes actualizar al Fix Pack 9.0.5.28 o posterior cuando esté disponible. Del mismo modo, se aconseja a los usuarios de WebSphere 8.5 actualizar al Fix Pack 8.5.5.30 o a una versión posterior cuando se lance.

Además del parcheo, debes tomar medidas defensivas proactivas. Monitorizar el tráfico HTTP en busca de anomalías, especialmente patrones de solicitud malformados o inesperados, puede ayudarte a detectar intentos de explotación.

Restringir el acceso externo a los endpoints de los plug-ins de WebSphere y desplegar protecciones de Firewall de Aplicaciones Web (WAF) puede reducir aún más la exposición. Tus equipos de seguridad también deberían iniciar actividades de búsqueda de amenazas (threat hunting) para identificar cualquier signo de compromiso dentro de los entornos afectados.

A medida que los actores de amenazas atacan cada vez más el middleware y la infraestructura de aplicaciones, vulnerabilidades como la CVE-2026-8633 subrayan la importancia de un parcheo oportuno y de controles de seguridad en capas.

Se insta a las organizaciones que utilizan IBM WebSphere a tratar este problema como una prioridad y a actuar con rapidez para mitigar los riesgos potenciales.

Fuentes:
https://cybersecuritynews.com/ibm-websphere-server-remote-code-execution/