Beveiligingsonderzoekers waarschuwen voor een reeks kwetsbaarheden in IBM WebSphere Liberty, een lichtgewicht en modulair Java-applicatieserver, die in combinatie kunnen leiden tot volledige overname van de server. De keten van zeven kwetsbaarheden begint met een recent ontdekte pre-authenticatiebug in de SAML Web SSO-component, waardoor aanvallers met lage privileges toegang krijgen.

Deze kwetsbaarheid, geregistreerd als CVE-2026-1561, maakt het mogelijk om via speciaal vervaardigde geserialiseerde payloads remote code execution (RCE) uit te voeren zonder dat authenticatie vereist is. Dit komt doordat de applicatie een integriteitscontrole op een geserialiseerde cookie uitvoert die niet effectief is door het niet opslaan van het resultaat van een String.concat()-bewerking in Java. Hierdoor kunnen kwaadwillenden de SSO-cookie manipuleren en willekeurige Java-objecten aanleveren zonder dat de validatie faalt. Omdat SSO-eindpunten vaak internet-facing zijn, vormt dit een extern toegangspunt dat gecombineerd kan worden met andere kwetsbaarheden.

Naast deze initiële toegang zijn er kritieke problemen gevonden in het AdminCenter, dat rolgebaseerde toegangscontrole moet afdwingen. Onder andere CVE-2025-14923 betreft hardcoded wachtwoorden voor token-signing LTPA-sleutels en encryptiecomponenten met statische sleutels. Ook kunnen gebruikers met alleen leesrechten via CVE-2025-14914 kritieke serverbestanden zoals authenticatiesleutels uitlezen, die vervolgens gebruikt kunnen worden om tokens te vervalsen en hogere privileges te verkrijgen. Verder is er een kwetsbaarheid in de archiefextractie die misbruikt kan worden om bestanden buiten de bedoelde mappen te schrijven, wat uiteindelijk leidt tot remote code execution.

De onderzoekers van Oligo Security hebben de volledige keten beschreven in hun blogpost. Zij adviseren organisaties dringend om de beschikbare patches toe te passen en de configuratie-instructies te volgen. Daarnaast wordt geadviseerd om alle ooit met SecurityUtility gegenereerde geheimen te roteren, omdat de standaard XOR- en AES-modi effectief omkeerbaar zijn.