17 mars 2026 🚨 Alerte Sécurité IBM i – Vulnérabilité DoS dans Db2 JSON Store (CVE-2025-66453)

IBM a identifié une vulnérabilité dans Db2 JSON Store Technology Preview sur IBM i pouvant provoquer un déni de service (DoS). Cette faille affecte principalement les environnements exposés à des entrées JavaScript non contrôlées.

🔍 Détails de la vulnérabilité

  • CVE : CVE-2025-66453
  • Composant : Db2 JSON Store (Technology Preview)
  • Type : Denial of Service (DoS)
  • CWE : CWE-400 – Uncontrolled Resource Consumption
  • Score CVSS : 5.5 / 10
  • La vulnérabilité est liée au moteur JavaScript Rhino utilisé dans JSON Store.
  • Lorsque la fonction toFixed() reçoit un nombre flottant contrôlé par un attaquant, cela peut provoquer des calculs extrêmement coûteux, entraînant une consommation CPU élevée et un ralentissement ou blocage du service.
  • ✔️ Versions corrigées de Rhino : 1.8.1, 1.7.15.1 et 1.7.14.1

⚠️ Risques

  • Ralentissement ou indisponibilité du service JSON Store.
  • Consommation excessive des ressources CPU pouvant impacter d’autres applications sur la même partition IBM i.
  • Exploitable à distance si l’entrée JavaScript est accessible via des API ou interfaces web.
  • 💡 Bien que le risque soit modéré (CVSS 5.5), l’impact sur la disponibilité peut être significatif dans les environnements exposés.

🛠️ Correctif / Remédiation

IBM recommande :

  1. Identifier l’utilisation de Db2 JSON Store sur votre partition.
  2. Mettre à jour Rhino vers une version corrigée : 1.8.1, 1.7.15.1 ou 1.7.14.1.
  3. Limiter l’exposition aux entrées JavaScript non contrôlées.
  4. Surveiller la consommation CPU sur les services JSON Store après mise à jour.

📌 Conclusion

La vulnérabilité CVE-2025-66453 peut provoquer un DoS local ou à distance via la fonction toFixed() dans Rhino.

Même si elle n’impacte pas directement la confidentialité ou l’intégrité des données, elle peut dégrader fortement la disponibilité des services IBM i exposés à des entrées non fiables.

Recommandation : appliquer rapidement les mises à jour et surveiller l’utilisation des ressources CPU.

🔗 Lien officiel IBM Security Bulletin 🔗


Agissez maintenant pour sécuriser votre environnement IT avec STR-iCT !

🔐 Restez informé sur les dernières alertes cybersécurité !

Posté dans ,

Dernières actualités

Alerte

🚨 ALERTE CRITIQUE – IBM i exposé à une vulnérabilité OpenSSL (CVSS 9.8!) pouvant mener à une exécution de code à distance

20 mars 2026
En savoir plus
Alerte

🚨 Alerte Sécurité IBM i – Vulnérabilité DoS exploitable à distance menace la disponibilité des systèmes

20 mars 2026
En savoir plus
Alerte

🚨 Alerte Sécurité IBM i – Vulnérabilité DoS dans Db2 JSON Store (CVE-2025-66453)

17 mars 2026
En savoir plus
Alerte

⚠️ Alerte Sécurité IBM i – Vulnérabilités dans IBM Java SDK & Runtime (CVE-2025-53066, CVE-2025-53057)

17 mars 2026
En savoir plus
Alerte

⚠️ Alerte Sécurité IBM i – Vulnérabilité XSS dans Navigator for i (CVE-2024-47875)

10 mars 2026
En savoir plus
Alerte

🚨 Alerte Sécurité IBM i – Multiples vulnérabilités dans IBM OmniFind Text Search Server for DB2 for i (10/12/2025)

26 février 2026
En savoir plus
Alerte

🚨 Alerte sécurité IBM i – Accès non autorisé à des informations (18/11/2025)

25 février 2026
En savoir plus
Alerte

🔥 Alerte Sécurité IBM i — Vulnérabilités BIND dans le DNS : données falsifiées, prédiction de ports, et attaques DoS par surcharge (23/08/2025)

24 février 2026
En savoir plus