IBM WebSphereに重大欠陥が連続公開、CVE-2026-8633ほか7月も追加
IBM WebSphere系の重大脆弱性を随時まとめています。最深刻はログイン不要でサーバーを乗っ取れるCVE-2026-8633(CVSS9.8)。6月の遠隔コード実行4件に加え、2026年6月30日〜7月1日に管理コンソールのXSS3件(CVE-2026-11708ほか)とLibertyのSSRF1件が追加されました。製品バージョン×修正パッチの早見表つきで整理します。
目次
IBM WebSphere系の重大脆弱性を随時まとめています。最深刻はログイン不要でサーバーを乗っ取れるCVE-2026-8633(CVSS9.8)。6月の遠隔コード実行4件に加え、2026年6月30日〜7月1日に管理コンソールのXSS3件(CVE-2026-11708ほか)とLibertyのSSRF1件が追加されました。製品バージョン×修正パッチの早見表つきで整理します。
IBM WebSphere に重大欠陥が連続公開、7月も管理画面のXSSほか4件を追加
2026年5月26日、IBM の主力アプリ基盤 WebSphere Application Server に、ログイン情報なしでサーバーを乗っ取られる重大な欠陥(CVE-2026-8633)が公開されました。危険度を示す CVSS スコアは 10点満点中9.8(Critical)で、攻撃者は細工したアクセスを送り込むだけで、サーバー上で好きなプログラムを実行できてしまいます。WebSphere は日本の大手銀行の勘定系、流通の基幹システム、製造業の生産管理で広く動いており、インターネットに面した一台でも残っていれば即対応が必要なレベルです。
同じ5月26日、もう1件 CVSS 9.8 の重大な欠陥も出ています。設計・開発の管理基盤 Engineering Lifecycle Management(ELM)で、認証なしの第三者が設定ファイルを書き換えて不正にアクセスできる欠陥(CVE-2026-3660)です。この2件を含め、IBM は5月後半に企業向け製品のセキュリティ警告を10件以上まとめて公開しました。
さらに 2026年6月1日、IBM は WebSphere Application Server 向けに新たな重大欠陥4件(CVE-2026-8644 / 9311 / 9319 / 9330)を追加公開しました。8.5系・9.0系が対象で、最高は CVSS 9.1、うち3件が遠隔コード実行につながります。5月26日の CVE-2026-8633 と同じ「動いているから触れない」基幹資産にまた当たる第2波です。本記事はこの6月の新規4件を含めて随時更新しているIBM WebSphere系まとめで、最優先の案件を冒頭に、関連する中位の脆弱性まで、製品バージョンと修正パッチ(Interim Fix)の早見表つきで整理しております。
さらに 2026年6月22日、IBM 製品の重大な欠陥はついに AI 開発ツールにも及びました。IBM 傘下のオープンソースツール Langflow に、認証不要でサーバーを乗っ取れる最高深刻度の欠陥(CVE-2026-10561、CVSS 10.0)が公開されています。WebSphere のような企業基盤とは利用者層が異なりますが、「IBM の製品で重大な穴が続いている」という点では地続きです。影響範囲と具体的な対策は専用記事(Langflow CVE-2026-10561)にまとめており、本記事では要点を後述します。
2026年6月時点で、ここで扱う WebSphere・ELM の各件はいずれも米政府 CISA の実際に攻撃が確認された脆弱性リスト(KEV)には未登録で、攻撃用の実証コードも公開されていません。ただし、ログイン不要でサーバーを乗っ取れる性質や、デシリアライゼーション型が過去に繰り返し悪用されてきた経緯を考えると、パッチ猶予は1〜2週間以内と読むのが妥当です。なお同じ週には、もう一方の業務サーバーである Oracle WebLogic で実際に悪用中の脆弱性 CVE-2024-21182 が KEV 入りしており、両方を運用する組織はあわせて確認が必要です。なお、IBM 以外も含めた国内企業で広く使われる製品の重大な脆弱性を横断で追いたい場合は、2026年の国内重大脆弱性まとめ(JVN ロウンドアップ)もあわせてご確認ください。
そして 2026年6月30日〜7月1日、IBM は WebSphere 系にさらに4件を追加公開しました。3件は管理コンソール(管理画面)のクロスサイトスクリプティング(CVE-2026-11708 / 11712 / 11594)、1件は WebSphere Liberty のサーバーサイドリクエストフォージェリ(SSRF、CVE-2026-11714)です。6月までの「認証なしでサーバーを乗っ取れる」遠隔コード実行群とは性質が異なり、いずれも管理者を細工リンクに誘導する、あるいは特定機能が有効なときに成立する一段緩い条件ですが、管理画面を扱う担当者が狙われると影響は小さくありません。詳細は次章にまとめました。
2026年7月の追加:管理画面のXSS3件とLibertyのSSRF(CVE-2026-11708ほか)
2026年6月30日〜7月1日にIBMが公開した4件は、いずれもWebSphere系ですが、6月までの遠隔コード実行(RCE)とは種類が違います。3件は管理コンソールのXSS(利用者=主に管理者を細工リンクに誘導して成立)、1件はLibertyのSSRFです。まず一覧で示します。
| CVE | 製品・バージョン | CVSS | 欠陥の種類 | 成立条件 |
|---|---|---|---|---|
| CVE-2026-11708 | WebSphere AS (8.5系 / 9.0系) | 9.3 | 管理コンソールの XSS | 管理者を細工 リンクへ誘導 |
| CVE-2026-11712 | WebSphere AS (8.5系 / 9.0系) | 9.3 | 管理コンソールの XSS | 管理者を細工 リンクへ誘導 |
| CVE-2026-11594 | WebSphere AS (8.5系 / 9.0系) | 8.5 | 管理コンソールの XSS(隣接網) | 同一ネットワーク +管理者を誘導 |
| CVE-2026-11714 | WebSphere Liberty (17.0.0.3〜26.0.0.7) | 8.5 | SSRF (CWE-918) | 要ログイン+ apiDiscovery有効 |
CVE-2026-11708 / CVE-2026-11712(CVSS 9.3): 管理コンソールのXSS
どちらもWebSphere Application Server(8.5系・9.0系)の管理コンソールのヘルプ機能にあるクロスサイトスクリプティング(XSS、CWE-79)です。XSSとは、細工した文字列を画面に埋め込み、それを開いた人のブラウザ上で攻撃者のスクリプトを動かす欠陥のこと。CVSSベクトルは AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N で、ログインは不要(PR:N)ですが、成立には管理者などが攻撃者の用意したリンクを開く操作(UI:R)が必要です。管理コンソールを操作する担当者が踏むと、その権限でコンソール上の操作を乗っ取られ、設定変更などにつながる恐れがあります。深刻度9.3は、影響が管理画面を越えて波及する(S:C)ことを反映した値です。
CVE-2026-11594(CVSS 8.5): 管理コンソールのXSS(隣接ネットワーク)
こちらも管理コンソールのXSSですが、攻撃元が隣接ネットワーク(AV:A=同じLAN内など)に限られる点が上の2件と異なり、深刻度は8.5です(CVE-2026-11594)。対象は同じくWebSphere Application Server 8.5系・9.0系。条件が一段狭いぶんリスクは下がりますが、管理画面を社内ネットワークに開いている環境では引き続き注意が必要です。
CVE-2026-11714(CVSS 8.5): Liberty のSSRF(要ログイン・apiDiscovery有効時)
4件のうち1件だけ種類が異なります。CVE-2026-11714 は、軽量版の WebSphere Liberty(17.0.0.3〜26.0.0.7)におけるサーバーサイドリクエストフォージェリ(SSRF、CWE-918)です。SSRFとは、サーバーを踏み台にして、本来外部からは触れない内部のリソースへアクセスさせる攻撃のこと。CVSSベクトルは AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N で、悪用にはログイン(低権限、PR:L)が必要で、かつ apiDiscovery-1.0 機能が有効なときに限られます。使っていない場合はこの機能を無効化しておくのが有効な備えです。
対策はいずれもIBMのInterim Fix/最新のフィックスパック適用です。あわせて、管理コンソールをインターネットや広い社内ネットワークに露出させない(XSS3件の入口を狭める)、使っていない apiDiscovery を無効化する(SSRFの前提を外す)といった構成面の見直しも効きます。適用手順の考え方は後述の「Interim Fix 適用の現実」も参考にしてください。なお本記事時点で、この4件のCISA KEV登録・実悪用報告は確認していません。
勘定系と設計図の上に座る基盤を、誰が本気で取りに来るのか

今回のWebSphereの欠陥が怖いのは、ログイン用のIDやパスワードを持たない相手が、インターネット越しに直接サーバーへ届く点です。この穴に値を付けるのは、銀行などの基幹システムを暗号化して身代金を要求するランサムウェア集団、企業への侵入口を見つけて他の攻撃者に売り渡す「初期アクセス業者」、自動車や半導体、防衛・航空の設計データを狙う国家ぐるみのハッカーです。
彼らが持ち出そうとするのは、銀行の取引記録、未公開の決算、航空機や自動車の設計図、医療機器の認証書類です。CVE-2026-8633とCVE-2026-3660はどちらも認証なしで届くため、踏まれればサーバーごと乗っ取られ、こうしたデータが直接外へ流れ出します。侵入口を見つけた業者は、その経路を一件あたり数千〜数万ドルでランサムの親玉に売り渡し、買い手はデータを暗号化して業務を止めたうえで、「払わなければ盗んだ記録を公開する」と二重に脅します。
完成車や航空機、医療機器の設計を一手に束ねるELM(製品の設計情報を集中管理する基盤)を握られると、被害は一社では止まらず、部品メーカーや導入先の病院まで連鎖します。後始末はシステム部門と経営に返り、漏えいが起きれば個人情報保護委員会への報告と顧客への通知、取引先への説明や損害賠償、信用の失墜が残ります。何十年もかけて積み上げた設計図・取引履歴・顧客の信用を一度に引き抜かれる前に、いま塞げるかどうかが分かれ目です。
認証なしで入れる穴からランサムウェアに業務を止められる流れは、絵空事ではありません。2025年から2026年にかけてアサヒグループが受けたランサムウェア攻撃は、入口を一つ許しただけで工場や物流が長期間止まり、売上にまで響いた実例でした。WebSphereは多くの基幹システムの土台にあるだけに、同じ事態を招く前に手を打つ価値があります。
製品バージョン × 修正パッチ × 適用優先度の早見表
公開された主要な案件を、製品バージョン・修正パッチ(Interim Fix)・適用の優先度で並べました。日本企業のシステム部門が触っている可能性の高い順です。
| CVE | 製品・バージョン | CVSS | 欠陥の種類 | 修正パッチ | 優先度 |
|---|---|---|---|---|---|
| CVE-2026-11708 / 11712 6/30〜7/1公開 | WebSphere AS (8.5系 / 9.0系) | 9.3 | 管理コンソールの XSS(要操作) | Interim Fix / 最新フィックスパック | 高 (管理画面担当) |
| CVE-2026-11594 6/30〜7/1公開 | WebSphere AS (8.5系 / 9.0系) | 8.5 | 管理コンソールの XSS(隣接網) | Interim Fix / 最新フィックスパック | 中〜高 |
| CVE-2026-11714 6/30〜7/1公開 | WebSphere Liberty (17.0.0.3〜26.0.0.7) | 8.5 | SSRF (要ログイン) | Interim Fix / apiDiscovery無効化 | 中 (機能有効時) |
| CVE-2026-10561 6月22日公開 | Langflow OSS (1.0.0〜1.9.3) | 10.0 | 認証バイパス+ コード実行 (認証不要) | 1.9.4 以降へ 更新 | 最優先 (利用者) |
| CVE-2026-8644 6月1日公開 | WebSphere AS (8.5系 / 9.0系) | 9.1 | なりすまし 認証回避 (認証不要) | Interim Fix+ Fix Pack 9.0.5.28 / 8.5.5.30 | 高 早期 |
| CVE-2026-9311 6月1日公開 | WebSphere AS (8.5系 / 9.0系) | 9.0 | コード挿入 遠隔コード実行 (認証不要) | Interim Fix+ Fix Pack 9.0.5.28 / 8.5.5.30 | 高 早期 |
| CVE-2026-9319 6月1日公開 | WebSphere AS (8.5系 / 9.0系) | 9.0 | デシリアライズ 遠隔コード実行 (JAX-WS/WS-Security) | Interim Fix+ Fix Pack 9.0.5.28 / 8.5.5.30 | 高 早期 |
| CVE-2026-9330 6月1日公開 | WebSphere AS (8.5系 / 9.0系) SAML SSO利用時 | 8.5 | デシリアライズ 遠隔コード実行 (SAML SSO) | Interim Fix+ Fix Pack 9.0.5.28 / 8.5.5.30 | 中 計画的に |
| CVE-2026-8633 | WebSphere AS Web Server Plug-ins (8.5系 / 9.0系) | 9.8 | 遠隔コード実行 (認証不要) | APAR PH71342 を含む Interim Fix | 最優先 今週中 |
| CVE-2026-3660 | Engineering Lifecycle Management (7.0.3 / 7.1.0 / 7.2.0) | 9.8 | 認可バイパス (認証不要) | 各版の対応 Interim Fix | 高 今四半期内 |
| CVE-2026-8620 | WebSphere AS Web Server Plug-ins (8.5系 / 9.0系) | 7.5 | リクエスト密輸 (認証不要) | APAR PH71342 (8633と同梱) | 8633と同時 |
| CVE-2026-1561 | WebSphere AS Liberty | 中 | 内部リクエスト 誘導(SSRF) | Liberty Fix Pack 26.0.0.4 以降 | 定例で可 |
| CVE-2026-32776 /32777/32778 | IBM HTTP Server (libexpat 由来3件) | 中 | XML処理の欠陥 | HTTP Server 最新版 | 定例で可 |
| CVE-2026-29063 | immutable (Liberty 同梱) | 中 | プロパティ汚染 | Liberty Fix Pack | 定例で可 |
| CVE-2026-1726 | Guardium Key Lifecycle Manager (4.1〜5.1) | 高 | 権限昇格 (認証要) | 該当版の修正 | 内部対策後 |
CVSS 9.8 の上位2件と、中位の脆弱性群でリスクの色が違います。次から、番号ごとに優先度の高いものから詳しく見ていきます。
公開された脆弱性を CVE 番号ごとに整理
深刻度がもっとも高いのは、6月22日に公開された AI 開発ツールの欠陥です。企業基盤の WebSphere 系に入る前に、この1件を先に取り上げます。
CVE-2026-10561:AI開発ツール Langflow が認証なしで乗っ取られる(CVSS 10.0)
IBM 傘下のオープンソースツール Langflow に、認証不要の遠隔コード実行(CVE-2026-10561)が見つかりました。CVSS は上限の 10.0 です。Langflow は、AI エージェントを画面上で部品をつないで組み立てられる人気ツールで、対象はバージョン 1.0.0〜1.9.3、修正版は 1.9.4 です。インターネットに公開された設置だと、ID やパスワードなしでサーバーを丸ごと乗っ取られます。Langflow は同種の欠陥を過去にも繰り返し抱え、その一部は公開直後に実際の攻撃を受けてきました。WebSphere のような基幹システムとは利用者層が異なりますが、検証用に立てた Langflow が外部公開のまま放置されているケースが特に危険です。なお同じ6月22日には、AI に外部ツールをつなぐ仕組み「MCP」の認可不備による別の重大欠陥(CVE-2026-7664、CVSS 9.8)も公開されており、1.9.4 への更新で両方を解消できます。攻撃の仕組み・影響範囲・具体的な対策は専用記事で詳しく解説しています。
続いて、企業向け基盤の本丸である WebSphere です。2026年6月1日に追加公開された新規4件から見ていきます。いずれも対象は8.5系・9.0系で、修正は各CVEに対応する Interim Fix と Fix Pack(おおむね 9.0.5.28 / 8.5.5.30 以降が目安)で提供されます。各件の個別 APAR 番号はIBM のセキュリティ情報一覧に記載されており、本記事では誤った版を案内しないよう個別番号は断定しておりません。
CVE-2026-8644:なりすましで認証を回避される(CVSS 9.1)
6月の新規分で最も深刻なのがCVE-2026-8644です。分類はCWE-290(なりすましによる認証回避)。本来はログインした正規利用者しか触れない機能に、攻撃者が別人になりすまして入り込めてしまう欠陥です。ネットワークから到達できれば事前のログインも利用者の操作も不要とされ、正面の鍵を壊すのではなく別人の社員証で素通りするイメージです。
CVE-2026-9311:細工した入力からサーバー上で命令が走る(CVSS 9.0)
CVE-2026-9311はCWE-94(コード挿入)による遠隔コード実行です。セキュリティ上の制御をすり抜けられる弱点を突くと、攻撃者の命令がサーバー上でそのまま実行されてしまいます。NVD の評価では攻撃の難易度はやや高い(AC:H)とされますが、ログインや利用者の操作は不要で、成功すればサーバーを乗っ取られる重大なものです。
CVE-2026-9319:Web通信の「データ復元」を悪用した乗っ取り(CVSS 9.0)
CVE-2026-9319はCWE-502(信頼できないデータの復元=デシリアライゼーション)です。外部から受け取ったデータを元の形に組み立て直す処理に細工をされると、データに紛れ込ませた命令がそのまま実行されてしまいます。今回は Web 通信の規格「WS-Security」を使う JAX-WS の入口が突破口になります。WebSphere はこの「データ復元」型を過去にも繰り返し抱えており、攻撃者が手慣れた狙い所です。
CVE-2026-9330:シングルサインオン(SAML)経由の乗っ取り(CVSS 8.5)
CVE-2026-9330も同じデシリアライゼーション型ですが、突破口は社内の複数システムに一度のログインで入れる「SAML によるシングルサインオン(SSO)」の処理にあります。攻撃者は低い権限のアカウントを持っていれば、細工したリクエストを送り込んでサーバー上で命令を実行できる恐れがあります。前の3件と違い、ある程度の権限を要するため深刻度は8.5にとどまりますが、社内に足場を得た攻撃者の横展開には十分です。SAML SSO を使っている組織は構成を確認してください。
CVE-2026-8633:WebSphere Application Server が認証なしで乗っ取られる(CVSS 9.8)
今回最も深刻なのが、CVE-2026-8633です。IBM 公式のセキュリティ警告によれば、WebSphere Application Server(従来版)と Liberty が使う Web Server Plug-ins(Web サーバーと連携する部品)に、細工したアクセス一発でサーバー上で任意のプログラムを実行できる欠陥が見つかりました。脆弱性の分類は CWE-94(プログラムの不正な実行を許す欠陥)、危険度を表す CVSS ベクトルは AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H で、ネットワーク経由・難易度低・ログイン不要・利用者の操作不要という、ほぼ最悪のプロファイルです。
影響を受けるのは WebSphere Application Server の バージョン8.5系と9.0系、および Liberty のうち Web Server Plug-ins を組み合わせて使っているものです。WebSphere は日本の大手金融の勘定系、流通の基幹系、製造業の生産管理、官公庁の基幹システムで Java の業務アプリ基盤として広く採用されています。特に8.5系は2014年リリースで、延長サポートを買って使い続けている組織が多く、本件はそうした「動いているから触れない」資産の塊にピンポイントで当たります。修正は APAR PH71342 を含む Interim Fix または Fix Pack で提供されます。当面パッチが当てられない場合は、不正なアクセスを手前で遮断する WAF(Web を守る防御装置)ルールの追加が現実解です。
CVE-2026-3660:Engineering Lifecycle Management の認可バイパス(CVSS 9.8)
同日付で公開されたCVE-2026-3660は、ELM に対する認証なしの認可バイパスです。CVSS 9.8、分類は CWE-863(認可の判定ミス)。IBM の警告によれば、ログイン情報を持たない遠隔の第三者がサーバーの設定ファイルを書き換え、本来は権限が必要な領域へ不正にアクセスできてしまう欠陥です。
ELM は IBM が提供する大規模システム開発向けの管理スイートで、要件管理(DOORS Next)、テスト管理、作業・プロジェクト管理といったツールを束ねたものです。自動車・航空・防衛・医療機器など、規制下のソフト開発で広く使われ、国内でも大手自動車メーカーや航空・防衛系のサプライヤー、医療機器メーカーで採用されています。影響を受けるのは 7.0.3 / 7.1.0 / 7.2.0 で、各版の対応 Interim Fix が公開済みです。ELM は社内ネットワークに閉じて運用するケースが多く外部からの直撃は WebSphere より起きにくいものの、設計データ・要件・テストケースという製品ライフサイクル全体の知的財産が集まるリポジトリであり、侵入後の横展開で真っ先に狙われます。今四半期内の適用が必須です。
CVE-2026-8620:WebSphere の HTTP リクエスト密輸(CVSS 7.5)
CVE-2026-8620は、CVE-2026-8633 と同じ Web Server Plug-ins に存在する「HTTP リクエスト密輸」の欠陥です。攻撃者が不正なリクエストを正規の通信に紛れ込ませ、防御をすり抜けさせる手口につながります。CVSS は7.5で、修正は 8633 と同じ APAR PH71342 に含まれます。8633 のパッチを当てれば同時に解消されるため、必ずセットで適用してください。
CVE-2026-1561:WebSphere Liberty の内部リクエスト誘導(SSRF)
Liberty が受け取ったリクエストを内部の別の宛先へ転送する処理に欠陥があり、攻撃者がサーバーの内側にあるリソースへ間接的にリクエストを送れてしまうタイプ(SSRF)です。修正は Liberty Fix Pack 26.0.0.4 以降で提供予定です。クラウド事業者管理のマネージドサービスなら自動更新されますが、自社運用 Liberty の組織は Fix Pack の到着待ちとなります。
CVE-2026-32776 / 32777 / 32778:IBM HTTP Server の libexpat 由来3件
IBM HTTP Server が内部で使う XML 処理ライブラリ libexpat 由来の欠陥が3件まとめて影響します。本体の乗っ取りには直結しませんが、XML を多く処理する通信を WebSphere 経由で公開している場合はサービス停止につながる可能性があるため、HTTP Server を最新版へ更新してください。
CVE-2026-29063:immutable ライブラリのプロパティ汚染
Liberty 同梱の JavaScript ライブラリ immutable に起因するプロパティ汚染(オブジェクトの内部設定を不正に書き換えられる欠陥)です。Liberty 上で JavaScript 実行環境を提供していない大半の利用者には影響は小さいものの、該当する組織は対象です。
CVE-2026-1726:Guardium Key Lifecycle Manager の権限昇格
Guardium Key Lifecycle Manager(GKLM、旧 Tivoli Key Lifecycle Manager)は、ストレージ暗号化の鍵管理に使う重要部品で、影響範囲は 4.1〜5.1 です。ログインが必要なため外部からの直撃は成立しませんが、侵入された後の横展開で鍵管理基盤を取られると暗号化資産全体が無力化されます。セキュリティ基盤への波及という意味で軽視できない案件です。
日本企業のパッチ優先順位はどう決めるべきか(筆者の見解)
ここからは筆者の見解として、日本の大手企業のシステム部門が今回の案件をどう優先順位付けすべきかを整理します。CVSS だけで並べると WebSphere RCE と ELM 認可バイパスが同列の9.8ですが、実務的な優先順位はこの2件で大きく異なると考えております。
第一に CVE-2026-8633(WebSphere の乗っ取り)。これは「外部公開している WebSphere があるか」で判断が分かれます。インターネット直結の WebSphere が一台でも残っていれば今週中の Interim Fix 適用が前提。社内に閉じていても、内部の踏み台経由の攻撃が成立する以上、2週間以内のパッチが妥当です。同じパッチ(APAR PH71342)で CVE-2026-8620 も同時に塞がります。
第二に CVE-2026-3660(ELM の認可バイパス)。ELM はほぼ社内ネットワーク運用なので外部直撃の優先度は WebSphere より下がります。ただし抱えている情報(要件・設計・テストケース)は規制下開発を行う企業にとって知財そのものであり、次の四半期パッチ(最大で約3ヶ月)以内には必ず適用、と読みます。
第三に、中位の SSRF / libexpat / immutable 系。これらは Fix Pack の到着を待つ間に、WAF やネットワーク分離で間接的にリスクを下げる時間が稼げます。定例パッチサイクルに乗せれば十分です。逆に言うと、「CVSS 9.0以上を全部同列で扱う」運用ルールはこの局面では効率を落とします。WebSphere 側に即パッチを集中させ、ELM は計画的に当てる、という濃淡をつけるのが現実解です。
なぜ IBM の脆弱性はこの時期に集中して出るのか(筆者の見解)
IBM のセキュリティ警告は、毎年5月・8月・11月・2月あたりに大量公開される傾向がございます。筆者の見解になりますが、背景には2つの構造要因があります。
1つ目は Oracle Java の四半期パッチ(Critical Patch Update)です。WebSphere や ELM は内部で IBM の Java 実行環境を抱えており、Oracle の四半期パッチに連動して IBM 側も四半期で対応版を切るルーティンになっています。4月の Oracle パッチを受けた対応版が5月後半に出る、というのが今回の規則的な流れです。
2つ目は、IBM 製品が大量の外部部品(OSS)を取り込んでいる構造です。WebSphere ひとつ取っても、Java 実行環境・libexpat・各種 JavaScript ライブラリ・XML 解析器といった上流の部品を同梱しており、上流で欠陥が見つかるたびに「IBM 製品としての影響を再評価して公開する」プロセスが回ります。今回の libexpat 3件や immutable はまさに上流由来の波及です。このため IBM 系を運用する組織は、パッチ管理を「個別 CVE への反射的対応」ではなく「四半期ごとのまとまり対応」に組み替えるのが現実的で、CVSS 9.8の例外案件だけ随時枠で処理するハイブリッドが妥当と考えております。
Interim Fix 適用の現実:本番システムで踏むべき手順
本記事は脆弱性まとめでパッチ手順書ではないので詳細は IBM 公式に譲りますが、Interim Fix を本番で当てる際の最低限の手順を整理しておきます。WebSphere / ELM ともにおおむね共通です。
- IBM Fix Central から該当バージョン用の Interim Fix を取得
- 事前検証環境(DEV/STG)に同じ Fix を適用し、回帰テストを実施
- 本番適用はサービス停止枠を確保したうえで段階適用(ノードごとに、負荷分散側で切り離しながら)
- 適用後の検証として
versionInfo.sh(WebSphere)相当のバージョン表示で Fix 番号を確認 - 万一に備え、Fix 適用前のバイナリ一式と設定のバックアップを事前確保
日本の大手企業の現場で特に注意したいのは、WebSphere 8.5系のように延長サポート(Continuous Delivery)契約に切り替えていないと、そもそも Interim Fix が降ってこないケースです。古いバージョンを使い続けているなら、まず IBM との契約状況を確認するところから入ってください。
よくある質問
Q. CVE-2026-8633 はすでに攻撃に使われていますか?
2026年6月1日時点で、米政府 CISA の実害確認リスト(KEV)に本件は登録されておらず、公開された実証コードも確認されていません。ただしログイン不要でサーバーを乗っ取れる性質上、実証コードが出回るまでの時間は短い見込みのため、即パッチが妥当です。
Q. WebSphere Liberty を使っている場合、影響を受けますか?
CVE-2026-8633 は Web Server Plug-ins の欠陥のため、Liberty 単体で Plug-ins を使っていなければ直接の影響は限定的です。ただし Liberty 系には別途 CVE-2026-1561(SSRF)や CVE-2026-29063(immutable)の影響があるため、Liberty Fix Pack 26.0.0.4 以降の到着を待って適用してください。
Q. CVE-2026-8633 の修正パッチはどれを当てればいいですか?
IBM のセキュリティ警告によれば、修正は APAR PH71342 を含む Web Server Plug-ins の Interim Fix または Fix Pack で提供されます。同じパッチで CVE-2026-8620(HTTP リクエスト密輸)も同時に解消されるため、セットで適用してください。
Q. ELM(CVE-2026-3660)の Interim Fix 番号はどこで確認できますか?
IBM の CVE-2026-3660 セキュリティ警告ページに、ELM 7.0.3 / 7.1.0 / 7.2.0 それぞれの修正 Interim Fix が記載されています。本番適用前に Fix Central から取得して検証してください。
Q. WebSphere 8.5 を使い続けている場合、Interim Fix は降ってきますか?
WebSphere 8.5 は標準サポート期間外で、延長サポート(Continuous Delivery)契約に切り替えていないと Interim Fix は配信されません。IBM との契約状況を確認し、必要なら 9.0系または Liberty への移行計画を立てる検討時期です。
更新履歴
- ・2026-07-01: 6月30日〜7月1日公開の WebSphere 系4件(管理コンソールXSS=CVE-2026-11708 / 11712 / 11594、Liberty SSRF=CVE-2026-11714)を追加。リード・早見表・新章「2026年7月の追加」・参照元に反映。6月までのRCEとは異なり要操作/特定機能有効時が前提の中〜高深刻度である点を明記
- ・2026-06-23: IBM 傘下の AI 開発ツール Langflow に認証不要の遠隔コード実行(CVE-2026-10561、CVSS 10.0)が公開されたため追加。リード・早見表・CVE別解説に反映し、影響範囲をまとめた専用記事への相互リンクを設定
- ・2026-06-02: 6月1日公開の WebSphere 新規4件(CVE-2026-8644 / 9311 / 9319 / 9330、3件が遠隔コード実行)を統合。リード・早見表・CVE別解説・参照元を更新し、悪用中の Oracle WebLogic(CVE-2024-21182)記事への相互リンクを追加
- ・2026-06-01: CVE-2026-8633(WebSphere の遠隔コード実行)を主題に再構成。各 CVE を番号ごとの見出しに整理し、製品バージョン × 修正パッチ × 適用優先度の早見表、CVE-2026-8620(リクエスト密輸)の解説、APAR PH71342 の修正情報を追記
- ・2026-05-27: 初版公開。WebSphere Web Server Plug-ins RCE(CVE-2026-8633)と ELM 認可バイパス(CVE-2026-3660)を中心に、関連の中位脆弱性まで含めて整理
参照元
- ・NVD - CVE-2026-11708(WebSphere AS 管理コンソール XSS・CVSS 9.3・6/30〜7/1公開)
- ・NVD - CVE-2026-11712(WebSphere AS 管理コンソール XSS・CVSS 9.3)
- ・NVD - CVE-2026-11594(WebSphere AS 管理コンソール XSS・隣接網・CVSS 8.5)
- ・NVD - CVE-2026-11714(WebSphere Liberty SSRF・要ログイン/apiDiscovery有効時・CVSS 8.5)
- ・NVD - CVE-2026-8644(WebSphere AS 認証回避・6月1日公開)
- ・NVD - CVE-2026-9311(WebSphere AS コード挿入RCE・6月1日公開)
- ・NVD - CVE-2026-9319(WebSphere AS デシリアライズRCE・6月1日公開)
- ・NVD - CVE-2026-9330(WebSphere AS SAML SSO デシリアライズRCE・6月1日公開)
- ・関連記事 - Oracle WebLogic CVE-2024-21182 が悪用中(CISA KEV)
- ・NVD - CVE-2026-8633(WebSphere AS Web Server Plug-ins RCE)
- ・NVD - CVE-2026-3660(Engineering Lifecycle Management 認可バイパス)
- ・NVD - CVE-2026-8620(Web Server Plug-ins HTTP リクエスト密輸)
- ・IBM Security Bulletin - CVE-2026-8633 / CVE-2026-8620(APAR PH71342)
- ・IBM Security Bulletin - CVE-2026-3660
- ・IBM Security Bulletin - CVE-2026-1561(Liberty SSRF)
- ・IBM Security Bulletin - IBM HTTP Server libexpat 3件
- ・WebSphere Application Server and IBM HTTP Server Security Bulletin List
- ・CVE-2026-1726: IBM Guardium Key Lifecycle Manager Flaw
- ・CISA Known Exploited Vulnerabilities Catalog
- ・CWE-94: Improper Control of Generation of Code
- ・CWE-863: Incorrect Authorization

堀川 慎
Backend Engineer / AWS / Django / Go