Deux vulnérabilités critiques corrigées récemment par IBM dans son produit WebSphere Application Server peuvent être exploitées par un attaquant distant non authentifié pour exécuter du code arbitraire avec des privilèges élevés.

Un chercheur en sécurité qui utilise le surnom en ligne teinte0 découvert en avril que WebSphere Application Server, l’environnement d’exécution basé sur Java EE d’IBM, est affecté par trois problèmes de désérialisation potentiellement graves. Deux des défauts ont été notés critique et ils peuvent être exploités pour l’exécution de code à distance, tandis que le troisième a été classé comme gravité élevée et cela peut conduire à la divulgation d’informations.

Tint0 a signalé les problèmes à IBM via Zero Day Initiative (ZDI) de Trend Micro, qui a publié la semaine dernière des avis pour chacune des vulnérabilités. Les bogues ont été signalés à IBM à la mi-avril.

Les failles de sécurité qui permettent l’exécution de code à distance sont suivies comme CVE-2020-4450 et CVE-2020-4448, et elles sont causées par «le manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner la désérialisation des données non fiables».

L’une des vulnérabilités est liée à la BroadcastMessageManager classe et il permet l’exécution de code arbitraire avec les privilèges SYSTEM, tandis que l’autre est lié à la gestion du protocole IIOP et il peut permettre l’exécution de code avec les privilèges root.

Selon IBM, l’exploitation implique l’envoi d’une séquence spécialement conçue d’objets sérialisés. WebSphere Application Server 8.5 et 9.0 sont affectés et CVE-2020-4448 affecte également WebSphere Virtual Enterprise Edition.

La faille de gravité élevée identifiée par tint0 est également liée à la désérialisation IIOP et peut conduire à la divulgation d’informations. Un attaquant distant peut exploiter la vulnérabilité sans authentification à l’aide d’une séquence spécialement conçue d’objets sérialisés.

Le vendeur a publié des correctifs pour chacune des vulnérabilités et il n’y a aucune preuve d’exploitation pour …