CERTFR-2025-AVI-0608_Multiples vulnérabilités dans les produits IBM
AVIS CERT
CERT-FR
Publié le 18 juillet 2025 à 17h30
Objet
Multiples vulnérabilités dans les produits IBM
Référence
CERTFR-2025-AVI-0608
Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Falsification de requêtes côté serveur (SSRF)
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
- Non spécifié par l'éditeur
Systèmes affectés
- Cognos Analytics versions 11.1.x antérieures à 11.1.7 Fix Pack 5
- Cognos Analytics versions 11.2.x antérieures à 11.2.3
- Db2 Query Management Facility versions 13.1 et 12.2.0.5 sans le JRE 8.0.8.45
- QRadar Incident Forensics versions 7.5.0 antérieures à 7.5.0 UP12 IF03
- QRadar SIEM versions 7.5.0 antérieures à 7.5.0 UP12 IF03
- QRadar SIEM versions 7.5.0 sans les derniers correctifs de sécurité pour les protocoles GoogleCloudPubSub, GoogleCommon et GoogleGSuiteActivityReportsRESTAPI
- Sterling Connect:Direct FTP+ versions 1.3.0 antérieures à 1.3.0.1
- Sterling Connect:Direct versions 6.2.x antérieures à 6.2.0.7 pour Windows
- Sterling Connect:Direct versions 6.2.x antérieures à 6.2.0.7.iFix052 pour Unix
- Sterling Connect:Direct versions 6.3.x antérieures à 6.3.0.5 pour Unix
- Sterling Connect:Direct versions 6.4.x antérieures à 6.4.0.2 pour Unix
- WebSphere Application Server Liberty versions antérieures à 25.0.0.8
- WebSphere Application Server versions 9.0.0.x antérieures à 9.0.5.25
- WebSphere eXtreme Scale versions 8.6.1.x antérieures à 8.6.1.6 sans le correctif PH67142 iFix
- WebSphere Remote Server sans les derniers correctifs de sécurité
Résumé
De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM 7239492 du 11 juillet 2025
- Bulletin de sécurité IBM 7239564 du 11 juillet 2025
- Bulletin de sécurité IBM 7239598 du 14 juillet 2025
- Bulletin de sécurité IBM 7239617 du 14 juillet 2025
- Bulletin de sécurité IBM 7239627 du 14 juillet 2025
- Bulletin de sécurité IBM 7239645 du 14 juillet 2025
- Bulletin de sécurité IBM 6615285 du 15 juillet 2025
- Bulletin de sécurité IBM 7239753 du 15 juillet 2025
- Bulletin de sécurité IBM 7239757 du 15 juillet 2025
- Bulletin de sécurité IBM 7239816 du 15 juillet 2025
- Bulletin de sécurité IBM 7239856 du 16 juillet 2025
- CVE-2020-16156
- CVE-2020-28469
- CVE-2020-36518
- CVE-2020-4301
- CVE-2021-20468
- CVE-2021-23438
- CVE-2021-28918
- CVE-2021-29418
- CVE-2021-29823
- CVE-2021-3749
- CVE-2021-3807
- CVE-2021-39009
- CVE-2021-39045
- CVE-2021-43797
- CVE-2021-44531
- CVE-2021-44532
- CVE-2021-44533
- CVE-2022-21803
- CVE-2022-21824
- CVE-2022-29078
- CVE-2022-30614
- CVE-2022-36773
- CVE-2022-49395
- CVE-2023-32732
- CVE-2023-33953
- CVE-2023-44487
- CVE-2024-52005
- CVE-2025-21587
- CVE-2025-22869
- CVE-2025-2900
- CVE-2025-30698
- CVE-2025-32414
- CVE-2025-36038
- CVE-2025-36097
- CVE-2025-4447
- CVE-2025-48734
- CVE-2025-48976
- CVE-2025-48988
- CVE-2025-49125
- CVE-2025-5283