CVE-2026-8633｜IBM WebSphere Web Server Plug-ins远程代码执行漏洞

0x00 前言

WebSphere是IBM推出的一系列应用服务器和中间件产品的统称，主要用于构建、部署和管理企业级Java应用程序及服务，在大型企业级IT架构中具有广泛应用。

作为Java EE（现已更名为 Jakarta EE）标准的实现之一，WebSphere为企业提供了开发、测试、部署和运行Java应用的完整环境，支持 Servlet、JSP、EJB、Web Services 等技术规范，可处理高并发、复杂业务逻辑的企业级应用。

不仅是应用服务器，还包含消息队列（如 WebSphere MQ）、事务管理、集群管理、安全性框架等功能，可连接数据库、遗留系统及第三方服务，实现企业 IT 资源的整合。

0x01 漏洞描述

该漏洞的根本原因是CWE-94（ Improper Control of Generation of Code，代码生成控制不当）。Web Server Plug-ins组件在处理HTTP请求时，对用户输入的验证不足，允许攻击者通过精心构造的请求触发代码注入。

攻击向量完全基于网络，复杂度低，无需认证或用户交互。攻击者只需向启用了Web Server Plug-ins的WebSphere实例发送特制HTTP请求，即可在目标系统上以WebSphere进程权限执行任意代码。成功利用后，攻击者可访问应用数据库、事务处理系统和核心业务API，造成严重的机密性、完整性和可用性影响。

同时披露的还有CVE-2026-8620，这是一个HTTP请求走私漏洞（CWE-444），允许攻击者绕过安全机制并操纵后端通信。

0x02 CVE编号

CVE-2026-8633

0x03 影响版本

IBM WebSphere Application Server 8.5（8.5.0.0 至 8.5.5.29）
IBM WebSphere Application Server Liberty 8.5（8.5.0.0 至 8.5.5.29）
IBM WebSphere Application Server 9.0（9.0.0.0 至 9.0.5.27）
IBM WebSphere Application Server Liberty 9.0（9.0.0.0 至 9.0.5.27）

注意：漏洞仅影响使用Web Server Plug-ins组件的环境。该组件是可选且单独安装的，但在企业部署中广泛启用。不使用该插件的WebSphere实例不受影响。

0x04 漏洞详情

https://www.ibm.com/support/pages/node/7274072

0x05 参考链接

https://www.ibm.com/support/pages/node/7274072