CVE-2026-11708: Kritisk XSS i IBM WebSphere 8.5 og 9.0
Kritisk sårbarhed i IBM WebSphere giver angribere mulighed for at stjæle adgang til din servers administrationskonsol.
Hvad er det?
CVE-2026-11708 er en såkaldt cross-site scripting-sårbarhed (XSS) i IBM WebSphere Application Server. XSS betyder, at en angriber kan injicere ondsindet kode i en webside, som derefter køres i din browser uden din viden. I dette tilfælde sidder fejlen i hjælpesystemet i WebSpheres administrationskonsol — det panel, som IT-folk bruger til at styre serveren. Sårbarheden kræver, at du som bruger klikker på et ondsindet link eller besøger en manipuleret side, men den kræver ingen adgangskode fra angriberens side. Den er vurderet til CVSS 9.3 ud af 10, hvilket placerer den i den kritiske kategori.
Hvem rammer det?
Sårbarheden rammer virksomheder, der kører IBM WebSphere Application Server version 8.5 eller 9.0. WebSphere bruges typisk som fundament for forretningskritiske webapplikationer og interne systemer — særligt i mellemstore og større virksomheder inden for finans, logistik, offentlig sektor og handel. Hvis din virksomhed bruger WebSphere til at køre hjemmesider, kundeportaler eller interne systemer, bør du undersøge, om I er berørt.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende:
- Stjæle session-cookies (digitale adgangsnøgler) fra en administrator og dermed overtage fuld kontrol over WebSphere-serveren
- Omdirigere dig til falske loginssider og snappe dine adgangskoder
- Udføre handlinger på serveren i dit navn — som at oprette nye brugere, ændre konfigurationer eller eksponere følsomme data
- Potentielt få adgang til de applikationer og data, der kører på serveren
Fortrolighed og integritet er begge klassificeret som høj risiko, hvilket betyder, at både dine data og din servers tilstand kan kompromitteres.
Hvor alvorligt er det?
IBM og NVD har tildelt denne sårbarhed en CVSS-score på 9.3 ud af 10 — kritisk. Det skyldes, at angrebet kan udføres over internettet, kræver ingen tekniske forudsætninger og ingen adgangskode fra angriberen. Den eneste barriere er, at en bruger skal interagere med et ondsindet link eller en side. Da angrebet rettes mod administrationskonsollen, er konsekvenserne ved et vellykket angreb meget alvorlige — en angriber kan potentielt overtage hele serverinstansen.
Hvad gør jeg nu?
Du bør handle hurtigt. Følg disse trin:
- Find ud af, om I er berørt: Spørg din IT-ansvarlige eller leverandør, om I kører IBM WebSphere Application Server version 8.5 eller 9.0.
- Tjek IBMs sikkerhedsbulletin: Gå til IBMs officielle supportside og søg efter CVE-2026-11708 for at finde den seneste patch eller midlertidig løsning.
- Begræns adgang til administrationskonsollen: Sørg for, at konsollen kun er tilgængelig fra interne netværk eller via VPN — ikke åbent fra internettet.
- Installer opdateringen: Anvend den anbefalede sikkerhedsopdatering fra IBM så hurtigt som muligt — prioritér dette frem for andre planlagte opdateringer.
- Informér brugere med adgang: Administratorer og andre med adgang til konsollen bør undgå at klikke på ukendte links, mens patchen endnu ikke er installeret.
- Log og overvåg: Hold øje med usædvanlig aktivitet i administrationskonsollen i den periode, indtil opdateringen er på plads.
Patch hurtigst muligt — kritisk alvor
Da denne sårbarhed rammer selve administrationskonsollen i WebSphere, er risikoen for fuld serverovertagelse reel. Vi anbefaler, at du straks begrænser adgangen til konsollen til kun betroede netværk, og at du installerer IBMs sikkerhedsopdatering inden for de næste 24-72 timer. Har du ikke intern IT-kapacitet til at håndtere dette, så kontakt din IT-leverandør eller Auroa for hjælp til hurtig afhjælpning.
Tidslinje
Konkrete eksempler
Phishing-mail til WebSphere-administrator
En angriber sender en e-mail til en af jeres IT-administratorer, der udgiver sig for at være IBMs support. Mailen indeholder et link til tilsyneladende officiel dokumentation. Linket fører til en side med ondsindet kode, der udnytter XSS-fejlen i WebSpheres hjælpesystem. Administratorens session-cookie stjæles, og angriberen logger ind i administrationskonsollen med fulde rettigheder — uden at kende adgangskoden.
Ondsindet link delt i et internt forum
En angriber, der har begrænset adgang til jeres interne systemer, poster et tilsyneladende harmløst link i et internt IT-forum eller en chatkanal. Når en administrator klikker på linket, aktiveres den ondsindede kode via XSS-fejlen. Angriberen overtager administratorens session og kan nu ændre serverkonfigurationer, oprette nye brugerkonti eller tilgå fortrolige applikationsdata.
Kompromitteret tredjeparts webside
En administrator besøger en legitim tredjeparts hjemmeside, som angriberen har kompromitteret og lagt ondsindet kode ind på. Hvis administratoren samtidig er logget ind i WebSpheres administrationskonsol, kan koden udnytte XSS-fejlen til at udføre handlinger i konsollen i baggrunden — for eksempel oprette en ny administratorkonto, som angriberen efterfølgende bruger til at tilgå systemet.
Ofte stillede spørgsmål
Hvad er cross-site scripting (XSS)?
Cross-site scripting er en type angreb, hvor en angriber sniger ondsindet kode ind på en webside. Når du besøger siden eller klikker på et manipuleret link, køres koden i din browser — uden at du opdager det. Koden kan blandt andet stjæle dine loginoplysninger eller udføre handlinger på hjemmesider, du er logget ind på.
Skal min medarbejder gøre noget aktivt for at blive ramt?
Ja — angrebet kræver, at en bruger (typisk en administrator) klikker på et ondsindet link eller besøger en manipuleret side. Angriberen skal altså lokke nogen til at interagere. Det sker ofte via phishing-mails eller falske supportbeskeder. Selv én enkelt medarbejder, der klikker forkert, kan give angriberen fuld adgang.
Er vi i fare, hvis vores WebSphere-konsol ikke er tilgængelig fra internettet?
Risikoen reduceres betydeligt, hvis konsollen kun er tilgængelig internt eller via VPN. Men den elimineres ikke helt — en angriber kan stadig forsøge at nå den via en medarbejders computer, der er inficeret med malware, eller via andre interne angrebsveje. Opdatering forbliver den bedste løsning.
Hvilke versioner af WebSphere er berørt?
Ifølge IBMs oplysninger er version 8.5 og 9.0 af IBM WebSphere Application Server berørt. Kører I en ældre version, bør I kontakte IBM for at afklare jeres situation — ældre versioner understøttes muligvis ikke længere og modtager måske ikke sikkerhedsopdateringer.
Hvad sker der, hvis vi ikke opdaterer?
Hvis sårbarheden ikke patches, forbliver jeres server eksponeret. En angriber, der lykkes med et angreb, kan overtage administrationskonsollen og dermed potentielt alle applikationer og data, der kører på serveren. Det kan føre til datalæk, nedetid og i værste fald brud på GDPR-reglerne med efterfølgende bøder og omdømmeskade.
Hvordan finder jeg ud af, hvilken version af WebSphere vi kører?
Din IT-ansvarlige kan tjekke versionen direkte i WebSpheres administrationskonsol under serveroplysningerne, eller via kommandolinjen på serveren. Har I outsourcet driften, så kontakt jeres leverandør med det samme og bed dem bekræfte versionen og status på sikkerhedsopdateringer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
IBM WebSphere Application Server 9.0, and 8.5 is affected by a cross-site scripting vulnerability in the administrative console’s integrated help system.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
