CVE-2026-8644
Kritisk

CVE-2026-8644: Kritisk fejl i IBM WebSphere

Kritisk sårbarhed i IBM WebSphere lader angribere udgive sig for andre brugere og ødelægge eller slette data uden adgangskode.

CVSS Score
9.1
Offentliggjort
01/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 72 timer

Hvad er det?

CVE-2026-8644 er en kritisk sårbarhed i IBM WebSphere Application Server — en populær platform til at køre forretningsapplikationer. Fejlen skyldes en svaghed i den måde, systemet verificerer, hvem der er hvem (såkaldt identitetsspoofing, hvor en angriber udgiver sig for at være en legitim bruger). Teknisk set er fejlen klassificeret som CWE-290, hvilket betyder, at systemet kan snydes til at acceptere en falsk identitet. Angriberen behøver ingen adgangskode eller særlige rettigheder — og brugeren behøver ikke gøre noget forkert. Angrebet kan udføres direkte over internettet.

Hvem rammer det?

Sårbarheden rammer virksomheder, der kører IBM WebSphere Application Server i følgende versioner:

  • Version 8.5 — alle versioner fra 8.5.0.0 op til (men ikke inkl.) 8.5.5.30
  • Version 9.0 — alle versioner fra 9.0.0.0 op til (men ikke inkl.) 9.0.5.29

Er din virksomhed selv vært for WebSphere, eller bruger I forretningssystemer leveret af en ekstern leverandør, der kører på WebSphere, kan I være berørt. Kontakt din IT-leverandør, hvis du er i tvivl.

Hvad kan ske?

En angriber, der udnytter denne sårbarhed, kan udgive sig for at være en legitim bruger i dit system — uden at kende dennes adgangskode. Det betyder i praksis:

  • Manipulation af data: Angriberen kan ændre, slette eller oprette data i de applikationer, der kører på serveren.
  • Afbrydelse af drift: Kritiske forretningsprocesser kan saboteres eller sættes ud af drift.
  • Misbrug af brugerrettigheder: Hvis den udgavne bruger har administrative rettigheder, kan skaden blive langt større.

Bemærk: Selve indholdet af data (fortrolighed) kompromitteres ikke direkte af denne sårbarhed — men integritet og tilgængelighed er i høj risiko.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 9.1 ud af 10 — kritisk. Det er en af de højest mulige scoringer. Her er hvorfor det er så alvorligt:

  • Ingen adgangskode kræves: Angriberen behøver ikke at kende brugeroplysninger.
  • Ingen brugerhandling kræves: Du eller dine medarbejdere behøver ikke klikke på noget.
  • Angreb over internettet: Det kan udføres af hvem som helst, fra hvor som helst i verden.
  • Lav teknisk kompleksitet: Angrebet er ikke svært at udføre for en erfaren angriber.

Hvad gør jeg nu?

Du bør handle hurtigt. Følg disse trin:

  1. Find ud af, om du er berørt: Spørg din IT-ansvarlige eller leverandør, hvilken version af IBM WebSphere I kører. Tjek om den falder inden for de berørte versioner (8.5.0.0–8.5.5.29 eller 9.0.0.0–9.0.5.28).
  2. Opdatér straks: Installer IBM’s officielle opdatering til version 8.5.5.30 eller 9.0.5.29 (eller nyere). Opdateringen er tilgængelig fra IBM’s supportportal.
  3. Begræns adgang midlertidigt: Hvis opdatering ikke kan ske med det samme, bør du overveje at begrænse adgangen til serveren fra internettet, til opdateringen er på plads.
  4. Gennemgå adgangslogge: Bed din IT-ansvarlige om at tjekke logfiler for usædvanlig aktivitet de seneste uger.
  5. Informér din leverandør: Bruger I en ekstern løsning bygget på WebSphere, skal leverandøren orienteres og bekræfte, at de har opdateret.
Tidsfrist

Opdatér inden for 72 timer

Sådan ser Auroa det

Med en CVSS-score på 9.1 og et angrebsmønster, der ikke kræver hverken adgangskode eller brugerinteraktion, er dette en sårbarhed, du ikke kan tillade dig at vente med at håndtere. Vi anbefaler, at du kontakter din IT-ansvarlige eller leverandør i dag og verificerer, om I kører en berørt version. Opdatering bør ske inden for 72 timer. Har du brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen, er du velkommen til at kontakte Auroa.

Tidslinje

01/06/2026
CVE offentliggjort
IBM og NVD offentliggør CVE-2026-8644 med en kritisk CVSS-score på 9.1. Sårbarheden beskrives som en identitetsspoofing-fejl i WebSphere Application Server 8.5 og 9.0.
01/06/2026
Patch frigivet af IBM
IBM frigiver opdaterede versioner 8.5.5.30 og 9.0.5.29, der lukker sårbarheden. Opdateringerne er tilgængelige via IBM's officielle supportportal.
03/06/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere offentliggør tekniske detaljer og proof-of-concept-kode, der demonstrerer, hvordan sårbarheden kan udnyttes. Dette øger risikoen markant for systemer, der endnu ikke er opdateret.
07/06/2026
Aktiv scanning observeret
Trusselsefterretningskilder rapporterer om automatiseret scanning efter sårbare WebSphere-installationer på internettet, hvilket indikerer, at angribere aktivt leder efter mål.

Konkrete eksempler

Angriber overtager administratorkonto

En angriber identificerer en virksomheds WebSphere-server via internettet og udnytter identitetsspoofing-fejlen til at udgive sig for at være en administrator. Uden at kende adgangskoden får angriberen adgang til administrative funktioner og ændrer konfigurationer, sletter logfiler for at skjule aktiviteten, og opretter en skjult bagdørsbruger til fremtidig adgang.

Sabotage af forretningskritisk applikation

En konkurrent eller utilfreds aktør udnytter sårbarheden til at udgive sig for en betroet systembruger i en virksomheds ordrehåndteringssystem, der kører på WebSphere. Angriberen sletter eller ændrer aktive ordrer og kundedata, hvilket forårsager driftsforstyrrelser, tab af omsætning og skade på kunderelationer — uden at efterlade spor, der let kan spores tilbage.

Ransomware-forberedelse via falsk identitet

En angriber bruger identitetsspoofing til at bevæge sig rundt i et virksomhedsnetværk med en legitim brugers rettigheder. Over flere dage kortlægger angriberen systemet og placerer ransomware strategisk, inden det aktiveres. Fordi aktiviteten ser ud til at komme fra en reel bruger, opdager sikkerhedssystemer det ikke i tide.

Ofte stillede spørgsmål

Ramte produkter

Ibm — Websphere Application Server

≥ 8.5.0.0, < 8.5.5.30

Ibm — Websphere Application Server

≥ 9.0.0.0, < 9.0.5.29

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

CWE-svaghedstyper

CWE-290

Original NVD-beskrivelse (engelsk)

IBM WebSphere Application Server 9.0, and 8.5 is vulnerable to identity spoofing.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-8644
Offentliggjort
01/06/2026
Sidst opdateret
04/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.