IBM WebSphere の脆弱性 CVE-2025-36038 (CVSS：9.0) が FIX：任意のコード実行の可能性

BM WebSphere Application Server Flaw Enables Arbitrary Code Execution

2025/06/26 gbhackers — IBM WebSphere Application Server に発見された、任意のコード実行の脆弱性により、リモートからの攻撃が懸念されている。この脆弱性 CVE-2025-36038 (CVSS：9.0) は、安全が確保されないデシリアライゼーション (CWE-502) に起因する。その影響がおよぶ範囲は、IBM WebSphere Application Server バージョン 9.0／8.5 であり、WebSphere 上でエンタープライズ・アプリを運用している組織に深刻なリスクをもたらす可能性がある。

CVSS ベクターは (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H) であり、機密性／完全性／可用性への影響が、きわめて高いことが示されている。この脆弱性の悪用に成功した攻撃者は、シリアライズされたオブジェクト内に悪意のシーケンスを作成することで、事前の認証を必要とすること、システムの制御を奪う可能性を手にする。ただし、この攻撃を成立させる前提として、複雑さを克服する必要がある。

IBM WebSphere に重大な脆弱性

すでに IBM は、迅速な対応を強く推奨するアドバイザリを発行し、この脅威の軽減を図っている。ただし、現時点においては、ワークアラウンドや一時的な緩和策は提供されておらず、恒久的な修正が唯一の対処方法となる。

IBM WebSphere Application Server バージョン 9.0.0.0～9.0.5.24 を使用している組織に対しては、必要な Fix Pack レベルへのアップグレードと、APAR PH66674 の暫定修正の適用、または、2025年 Q3 に提供される予定の、Fix Pack 9.0.5.25 以降への更新が推奨されている。

それと同様に、バージョン 8.5.0.0～8.5.5.27 を使用している場合は、最低限のフィックスパック要件を満たした上での、PH66674 の暫定修正の適用、もしくは、2025年 Q3 にリリース予定の、Fix Pack 8.5.5.28 以降へのアップグレードが必要となる。

追加の暫定修正プログラムは、IBM の公式ダウンロード・ページから入手できるようになるはずだ。IBM が強調するのは、この脆弱性の迅速な修正による悪用の防止である。

さらに、ユーザー組織に対して推奨されるのは、セキュリティ情報の参照先に記載されている CVSS v3 ガイドやオンライン計算ツールを活用し、自社環境への影響を評価することだ。

緊急修正と推奨事項

この脆弱性が浮き彫りにするのは、IBM WebSphere Application Server のような複雑なソフトウェアにおけるデシリアライゼーションの脆弱性が、信頼できない入力により悪用され、深刻なセキュリティ侵害を引き起こす可能性である。

企業の IT インフラの基盤である、WebSphere が深刻な脆弱性に直面している。ユーザー組織に求められるのは、厳格なパッチ管理とセキュリティ情報の継続的な監視となる。

IBM が明記するのは、CVSS スコアは “As Is” で提供され、何かを保証するものでないという点だ。したがってユーザーは、この脆弱性が自社システムへ与える実際の影響を、自ら評価する責任を負うことになる。

また、同社のアドバイザリに、サポート対象バージョンだけが記載されているケースについても注意を促している。そのような場合において、サポート対象外または、サポート終了バージョンが、影響を受けないことを意味するものではないと指摘している。すべてのユーザーに求められるのは、自社システムの状態を確認することである。

今後の更新情報については、IBM の My Notifications サービスへの登録と、そこでの最新セキュリティ・アラートの入手が推奨されている。

サイバー脅威が進化し続ける中、このインシデントが示すのは、タイムリーなソフトウェア更新と積極的な脆弱性管理の重要性である。それにより、重要なビジネス・アプリケーションを、リモート攻撃から守る必要がある。

2025年6月25日に、このセキュリティ情報は公開され、その後に CVE ID が訂正／更新された。世界中の WebSphere 管理者にとって、迅速な対応が求められる、重要な内容である。

IBM WebSphere Application Server に深刻な脆弱性が発見されました。それを悪用する脅威アクターが、システムを乗っ取る可能性があると、この記事は指摘しています。すでに IBM は修正を進めており、対象バージョンを使っている場合は、パッチの適用が重要となるようです。詳細に関しては、ベンダー・アドバイザリを、ご確認ください。よろしければ、IBM で検索も、ご参照ください。