Node.js et IBM sous surveillance : le CERT-FR émet de nouveaux avis de sécurité le 19 juin

Le 19 juin, le CERT-FR (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) a publié deux nouveaux avis de sécurité identifiant des vulnérabilités critiques dans l'environnement d'exécution JavaScript Node.js ainsi que dans une vaste gamme de solutions logicielles d'IBM. Ces alertes, indexées sous les références CERTFR-2026-AVI-0786 et CERTFR-2026-AVI-0788, viennent compléter les séries d'avis émis la veille concernant des produits tels que Nginx, Drupal, Cisco ou Atlassian.

Node.js : onze vulnérabilités corrigées

L'avis consacré à Node.js recense onze failles de sécurité, identifiées par les identifiants CVE-2026-21636, CVE-2026-48615, CVE-2026-48617, CVE-2026-48618, CVE-2026-48619, CVE-2026-48928, CVE-2026-48930, CVE-2026-48931, CVE-2026-48933, CVE-2026-48934, CVE-2026-48935, CVE-2026-48936 et CVE-2026-48937. Selon le bulletin de sécurité publié le 18 juin par l'équipe de développement de Node.js, ces vulnérabilités exposent les systèmes à plusieurs types de risques : un déni de service à distance, une atteinte à la confidentialité des données ainsi qu'une atteinte à l'intégrité des données. Le CERT-FR mentionne également un risque de contournement de la politique de sécurité.

Les versions concernées sont les branches 22.x antérieures à la version 22.23.0, les versions 24.x antérieures à la version 24.17.0 et les versions 26.x antérieures à la version 26.3.1. Les administrateurs sont invités à appliquer sans délai les correctifs fournis par l'éditeur, disponibles sur le site officiel de Node.js. Les utilisateurs des versions maintenues doivent ainsi migrer vers les versions les plus récentes pour se prémunir des risques identifiés.

IBM : plus de vingt bulletins de sécurité consolidés

Le second avis, de portée plus large, porte sur de multiples vulnérabilités découvertes dans les produits IBM. L'alerte se fonde sur une série de vingt-cinq bulletins de sécurité publiés par IBM entre le 12 et le 18 juin 2026. Les failles pourraient permettre à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges, un déni de service à distance, une injection SQL (SQLi), une falsification de requêtes côté serveur (SSRF) ou encore une injection de code indirecte à distance (XSS). Les autres risques listés incluent une atteinte à l'intégrité et à la confidentialité des données, ainsi qu'un contournement de la politique de sécurité.

De nombreux produits de l'éditeur sont affectés. Parmi eux figurent les serveurs d'applications WebSphere (versions 8.5.0 et 9.0.0 à 9.0.5.28), WebSphere Application Server - Liberty (versions 17.x à 26.x) et WebSphere Service Registry and Repository (version 8.5). Les solutions de gestion des échanges de données Sterling sont également visées : Sterling B2B Integrator et Sterling File Gateway (version 6.2.1 antérieure à 6.2.1.2), Sterling Connect:Direct Web Services (versions 6.3.0 antérieures à 6.3.0.19 et 6.4.0 antérieures à 6.4.0.8), ainsi que Sterling Connect:Direct File Agent (versions 1.4.0.3 à 1.4.0.5_iFi011).

Dans le domaine de la sécurité et de l'analyse, IBM QRadar SIEM (versions 7.5.0 antérieures à 7.5.0 UP15 IF04) et Security QRadar Log Management AQL Plugin (versions 1.x antérieures à 1.1.6) sont listés. Les outils de gestion de bases de données DB2 Query Management Facility (versions 12.2.0.5 et 13.1.x sans correctifs), ainsi que l'agent de surveillance Tivoli Composite Application Manager for Applications WebSphere MQ Monitoring Agent (version 7.3.0 Fix Pack 4 sans correctifs) complètent la liste des systèmes affectés.

Réactions et mesures recommandées

Le CERT-FR préconise, pour l'ensemble de ces vulnérabilités, de se référer aux bulletins de sécurité des éditeurs afin d'obtenir les correctifs appropriés. Aucune solution de contournement n'a été communiquée à ce stade. Les organisations utilisant les versions concernées de Node.js ou des produits IBM sont invitées à mettre à jour leurs systèmes dans les plus brefs délais, en priorisant les correctifs liés aux risques d'exécution de code à distance et d'élévation de privilèges.

Ces nouvelles alertes s'inscrivent dans un contexte de vigilance accrue de la part des autorités françaises de cybersécurité, qui multiplient les avis depuis le début du mois de juin 2026. Plusieurs frameworks et logiciels largement déployés, tels que Spring, Redmine, Suricata, ou encore les solutions de Cisco, Drupal et Splunk, ont déjà fait l'objet de mises en garde récentes. La publication de ces deux avis le 19 juin confirme la tendance d'une menace persistante pesant sur les infrastructures critiques, les environnements de développement et les systèmes d'entreprise.