Multiples vulnérabilités dans les produits IBM : exécution de code et déni de service à distance

De multiples vulnérabilités ont été découvertes dans plusieurs produits de l'entreprise IBM, selon un avis de sécurité publié le 22 mai 2026. Ces failles affectent notamment les bases de données Db2, le logiciel d'intégration Sterling Transformation Extender, la plateforme WebSphere Automation ainsi que l'environnement de développement Open SDK pour Rust sur AIX. Les risques associés sont variés et considérés comme critiques par les spécialistes.

Produits concernés et versions vulnérables

Les produits suivants sont listés comme vulnérables :

• Db2 Big SQL : versions 7.6.x à 8.3.x antérieures à 8.3.1 patch 4.
• Db2 sur Cloud Pak for Data et Db2 Warehouse sur Cloud Pak for Data : versions 4.8.x à 5.3.x antérieures à 5.3.1.
• Db2 (versions autonomes) : versions 11.5.x antérieures à 11.5.9 sans le correctif Special Build #81937, et versions 12.1.x antérieures à 12.1.4 sans le correctif Special Build #83501.
• Open SDK pour Rust sur AIX : versions 1.90.x et 1.92.x sans le correctif de sécurité Fix Pack 2.
• Sterling Transformation Extender : versions 11.0.1.1 et 11.0.2.0 sans le correctif de sécurité PH71227.
• WebSphere Automation : versions 1.1x antérieures à 1.12.1.

Nature des vulnérabilités

Les failles identifiées couvrent un large spectre d'attaques potentielles. Selon l'avis, elles permettent notamment :

• une exécution de code arbitraire à distance ;
• une élévation de privilèges ;
• un déni de service à distance ;
• une atteinte à l'intégrité et à la confidentialité des données ;
• un contournement de la politique de sécurité ;
• une falsification de requêtes côté serveur (SSRF) ;
• une injection de code indirecte à distance (XSS).

Certaines vulnérabilités n'ont pas été spécifiées par l'éditeur, mais leur exploitation pourrait permettre à un attaquant non authentifié de compromettre les systèmes affectés.

Correctifs disponibles

IBM a publié une série de bulletins de sécurité entre le 15 et le 21 mai 2026, référencés sous les numéros 7273150, 7273151, 7273152, 7273153, 7273155, 7273156, 7273269, 7273281, 7273312, 7271877 et 7273555. Chaque bulletin détaille les correctifs à appliquer pour chaque produit. Les administrateurs sont invités à consulter ces documents et à installer les mises à jour dans les plus brefs délais.

Recommandations

Les autorités de cybersécurité recommandent aux organisations utilisant ces produits d'appliquer sans attendre les correctifs fournis par IBM. Il est également conseillé de vérifier les versions exactes en production et de suivre les instructions des bulletins de sécurité. Aucune solution de contournement n'a été communiquée par l'éditeur en l'absence de correctif.

Contexte

Ces annonces interviennent dans un contexte où les attaques ciblant les infrastructures critiques et les bases de données se multiplient. IBM, en tant que fournisseur majeur de solutions logicielles pour les entreprises, fait régulièrement l'objet de publications de correctifs de sécurité. Les vulnérabilités identifiées touchent des composants très utilisés dans les environnements professionnels, ce qui souligne l'importance d'une gestion rigoureuse des correctifs.