IBM WebSphere／Verify Access の複数の脆弱性が FIX：システムの完全な侵害に至る可能性

IBM Identity and Verify Access Vulnerabilities Allow Remote Attacker to Access Sensitive Data

2026/04/08 CyberSecurityNews — IBM の IBM WebSphere Application Server／Verify Identity Access／Security Verify Access に、複数の脆弱性が存在することが明らかになった。これらのセキュリティ欠陥を未修正の状態で放置すると、攻撃者により、機密情報へのアクセス／権限昇格／サービス拒否 (DoS) が引き起こされる可能性がある。これらの認証プラットフォームを利用する組織にとって必要なことは、速やかなパッチの適用である。

特に注目すべき問題は、WebSphere Application Server における Web トラフィック処理に関する実装にある。HTTP リクエスト・スマグリング脆弱性の CVE-2026-2862／CVE-2026-1491 (CVSS 5.3)は、リバース・プロキシ処理の不整合に起因するものだ。

この脆弱性を悪用する未認証のリモート攻撃者は、プロキシ・サーバを欺き、内部 Web トラフィックを露出させる可能性がある。その結果として、セキュリティ・チェックの回避と、機密性の高いユーザー・データへの不正アクセスが可能になる。

この脆弱性の影響が及ぶ範囲は、WebSphere Application Server の 8.5〜9.0 と、IBM WebSphere Application Server Liberty の 17.0.0.3〜25.0.0.12 である。 

深刻なリスクをもたらす脆弱性

このセキュリティ更新では、以下の深刻な脆弱性も修正されている。

CVE-2026-1188 (CVSS 9.8)：Eclipse OMR ポート・ライブラリにおけるバッファ・オーバーフローの脆弱性。プロセッサ機能読み取り時の、バッファ・サイズの計算不備により、メモリ破壊を引き起こし、システムの完全な侵害に至る可能性がある。

CVE-2026-1346 (CVSS 9.3)：Security Verify Access コンテナの脆弱性であり、ローカル認証済みユーザーに対して root 権限への昇格を許す。

CVE-2023-46233 (CVSS 9.1)：crypto-js ライブラリの脆弱性である。デフォルトで SHA-1 を使用しているため、単一反復のパスワード処理が可能になり、総当たり攻撃への耐性が著しく低下する。

CVE-2026-1342 (CVSS 8.5)：コンテナ・プラットフォームにおける脆弱性である。ローカルの認証済みユーザーに対して、信頼されない制御領域からのスクリプト実行を許してしまう。

CVE-2026-4101 (CVSS 8.1)：高負荷状態において認証機構を回避するリモート攻撃者に対して、不正アクセスを許してしまう。

CVE-2026-1345 (CVSS 7.3)：入力検証不備に起因する OS コマンド・インジェクションの脆弱性。未認証ユーザーに対して、任意のコマンド実行を許してしまう。

さらに、CVE-2026-1343 (SSRF)／CVE-2025-12635 (XSS)、および Java SE におけるリソース消費系の脆弱性も修正されている。

影響の範囲と対策

これらの脆弱性が影響を及ぼす範囲は、IBM Verify Identity Access および IBM Security Verify Access のバージョン 10.0〜11.0.2、ならびに対応するコンテナ環境となる。

一連の脆弱性に対する回避策は存在しないため、IBM は即時アップデートを強く推奨している。システム管理者にとって必要なことは、IBM Verify Identity Access v11.0.2 IF1 または IBM Security Verify Access v10.0.9.1 IF1 を、公式ポータルから取得して適用することだ。

コンテナ環境においては、最新の更新済みイメージをレジストリから取得し、環境の保護を確実に行う必要がある。

訳者後書：一連の問題の主な原因は、IBM の認証／基盤プラットフォーム群において、多岐にわたる実装上の不備が重なったことにあります。特に WebSphere では、リバース・プロキシとバックエンド間での、HTTP リクエスト解釈の不整合の脆弱性 CVE-2026-2862／CVE-2026-1491 により、通信内容を不正に操作されるリスクが生じています。また、バッファサイズの計算ミスによるメモリ破壊 CVE-2026-1188 や、古い暗号アルゴリズムの使用 CVE-2023-46233 など、基本設計やライブラリの管理不備が脆弱性につながっています。ご利用のチームは、ご注意ください。よろしければ、IBM での検索結果も、ご参照ください。