📅 13 Mai 2026
Navigator for IBM i est concerné par une vulnérabilité Cross-Site Scripting (XSS) liée à DOMPurify, bibliothèque utilisée par le Monaco Editor pour assainir le contenu HTML lors de l’édition de fichiers de configuration.
🔍 Analyse de la vulnérabilité
⚠️ CVE-2026-0540 — Contournement de sanitisation HTML (CVSS 6.1)
La faille affecte DOMPurify (versions 3.1.3 à 3.3.1 et 2.5.3 à 2.5.8) et repose sur une neutralisation incomplète de certains éléments HTML de type rawtext (noscript, xmp, noembed, noframes, iframe).
Dans certaines conditions, un attaquant peut contourner les mécanismes de filtrage et injecter un contenu capable de déclencher du JavaScript côté navigateur lorsque les données sont affichées dans un contexte non protégé.
🎯 Impact : exécution potentielle de scripts malveillants dans Navigator for i, avec un risque d’altération du contenu affiché ou d’interaction non prévue avec la session utilisateur.
🛠️ Recommandations
✔️ Appliquer les correctifs IBM i / Navigator for i disponibles (PTF en pièce-jointe)
✔️ Mettre à jour les composants DOMPurify concernés
✔️ Restreindre l’accès aux interfaces d’administration aux environnements de confiance
👉 Une mise à jour rapide est recommandée afin de réduire les risques d’exploitation côté navigateur.
🔗 Lien officiel IBM Security Bulletin 🔗
⚡Agissez maintenant pour sécuriser votre environnement IT avec STR-iCT !
🔐 Restez informé sur les dernières alertes cybersécurité !
