Un bug de pré-authentification dans SAML Web SSO, combiné à des contrôles d’accès et une cryptographie faibles, permet aux attaquants d’élever leurs privilèges et de réaliser l’exécution de code à distance.
Les chercheurs en sécurité mettent en garde contre un ensemble de failles affectant IBM WebSphere Liberty, un serveur d’applications Java léger et modulaire, qui peuvent être enchaînées dans une compromission complète du serveur.
Les failles, au nombre de sept, qui ont conduit à la compromission finale du serveur ont été initiées par un problème de pré-authentification récemment découvert dans le composant SAML Web SSO de la plateforme qui permet un accès à faible privilège.
À partir de là, la chaîne manipule l’authentification, le contrôle d’accès et la protection cryptographique pour obtenir un contrôle total. « Les 7 failles que nous avons signalées à IBM créent de multiples voies permettant aux attaquants de passer d’une exposition au niveau du réseau ou d’un accès limité à une compromission complète du serveur », ont déclaré les chercheurs d’Oligo Security dans un article de blog.
La chaîne est essentiellement une voie d’élévation de privilèges vers une compromission critique, contre laquelle des protections sont désormais disponibles sous forme de correctifs et de directives de configuration.
Le RCE de pré-autorisation donne le ton
La faille racine, également la plus récemment divulguée, est identifiée comme CVE-2026-1561, ciblant la fonctionnalité SAML Web SSO et ne nécessite aucune authentification pour être exploitée. Dans les déploiements concernés, les attaquants peuvent atteindre les points de terminaison SAML exposés et fournir des charges utiles sérialisées contrefaites, réalisant finalement l’exécution de code à distance (RCE).
Plus précisément, l’application tente de valider un cookie sérialisé en ajoutant une valeur secrète, mais ne parvient pas à stocker le résultat de l’opération « String.concat() ». En Java, cette méthode ne mute pas, ce qui signifie que la chaîne d’origine reste inchangée, ce qui rend le contrôle d’intégrité inutile.
En conséquence, les attaquants peuvent falsifier le cookie SSO et fournir des objets Java sérialisés arbitraires sans déclencher d’échecs de validation. Étant donné que le point de terminaison vulnérable traite ces données avant l’authentification, il ouvre le vecteur RCE de pré-authentification.
Les points de terminaison SSO sont souvent connectés à Internet de par leur conception, ont noté les chercheurs, transformant la faille en un point d’entrée distant et rendant possible le chaînage avec des faiblesses supplémentaires.
Les failles d’AdminCenter permettent une escalade ultérieure
Au-delà de l’accès initial, l’étude a mis en évidence des problèmes critiques au sein des contrôles administratifs de WebSphere Liberty. Le composant AdminCenter, conçu pour appliquer un accès basé sur les rôles, contient plusieurs failles qui permettent aux utilisateurs peu privilégiés d’accéder à des fichiers et secrets sensibles.
Un problème, suivi sous CVE-2025-14915, permet aux utilisateurs de niveau « lecteur » de récupérer des fichiers de serveur critiques tels que des clés d’authentification, qui peuvent ensuite être utilisés pour falsifier des jetons et usurper l’identité d’utilisateurs privilégiés plus élevés. Un autre problème (CVE-2025-14917) réside dans les mots de passe codés en dur protégeant les clés LTPA de signature de jetons, ainsi que dans les utilitaires de chiffrement livrés avec des clés statiques (CVE-2025-14923) dans tous les modes.
Le reste de la chaîne comprend une faille d’extraction d’archives (CVE-2025-14914) qui peut être exploitée pour écrire des fichiers en dehors des répertoires prévus, ainsi qu’une gestion non sécurisée (CVE non attribuée) des données de configuration où les entrées sensibles, comme les informations d’identification « dans server.xml », peuvent être récupérées ou réutilisées une fois l’accès obtenu.
Outre l’application des correctifs nécessaires, Oligo a exhorté les organisations à alterner tous les secrets générés à l’aide de « SecurityUtility », car les modes XOR et AES par défaut les rendent effectivement réversibles, et à passer à des clés de chiffrement personnalisées à l’avenir. Il a également recommandé d’utiliser l’audit et de limiter les attributions de rôles de lecteur, car ces utilisateurs peuvent potentiellement accéder à un accès administratif complet.
