CERTFR-2025-AVI-0980_Multiples vulnérabilités dans les produits IBM

Multiples vulnérabilités dans les produits IBM

CERTFR-2025-AVI-0980

• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Déni de service à distance
• Exécution de code arbitraire à distance
• Injection de requêtes illégitimes par rebond (CSRF)
• Non spécifié par l'éditeur

• Cognos Dashboards on Cloud Pak for Data versions 5.x antérieures à 5.2.2
• WebSphere Application Server Liberty versions 17.0.0.3 à 25.0.0.11 sans le correctif de sécurité temporaire PH68418 ou antérieures à 25.0.0.12 (disponibilité prévue pour le quatrième trimestre 2025)
• WebSphere Application Server versions 8.5.0.0 à 8.5.5.28 sans les correctifs de sécurité temporaires PH68418 et PH68762 ou antérieures à 8.5.5.28 (disponibilité prévue pour le premier trimestre 2026)
• WebSphere Application Server versions 9.0.0.0 à 9.0.5.25 sans le correctif de sécurité temporaire PH68418 ou antérieures à 9.0.5.27 (disponibilité prévue pour le premier trimestre 2026)
• WebSphere Application Server versions 9.x avec une version de IBM SDK, Java Technology Edition, antérieure à 8 Service Refresh 8 FP55

De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

• Bulletin de sécurité IBM 7248997 du 31 octobre 2025
• Bulletin de sécurité IBM 7250035 du 03 novembre 2025
• Bulletin de sécurité IBM 7250200 du 05 novembre 2025
• CVE-2023-45857
• CVE-2025-49146
• CVE-2025-53057
• CVE-2025-53066
• CVE-2025-7962

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0980/