O IBM WebSphere é essencialmente uma framework de software que hospeda aplicações web baseadas em Java.

Estas falhas podiam ser exploradas por atacantes de forma a conseguirem executar código arbitrário de forma remota.

A estas falhas foram atribuídos o CVE-2020-4450 e CVE-2020-4448, que acontecem devido à falta de validação de dados recebidos por parte do utilizador, podendo depois levar à des-serialização de dados desconhecidos.

CVE-2020-4450: reside mais precisamente na forma como é processado o protocolo IIOP (Internet Inter ORB Protocol); este protocolo é o que permite que diferentes linguagens de programação distribuída comuniquem entre si pela Internet. Desta forma, ao ser explorado este protocolo, o atacante podia executar código com privilégios de administrador.

CVE-2020-4448: a falha está na classe BroadcastMessageManager, que também podia ser explorada para que o atacante conseguisse executar código com privilégios de sistema.

Versões vulneráveis

8.5 e 9.0

A falha referente ao CVE-2020-4448 impacta também o WebSphere Virtual Enterprise Edition.

Boletim oficial de segurança da IBM: https://www.ibm.com/support/pages/security-bulletin-websphere-application-server-vulnerable-remote-code-execution-vulnerability-cve-2020-4450