06 juillet 2026 🧾 Bulletin de sécurité : multiples vulnérabilités dans Navigator for i et Digital Certificate Manager

📅 29 Juin 2026

Les interfaces web Navigator for i et Digital Certificate Manager sont concernées par un important ensemble de vulnérabilités affectant les bibliothèques Angular et DOMPurify, utilisées pour le développement et la sécurisation de leurs interfaces graphiques.

👉 Au total, ce bulletin regroupe 10 vulnérabilités couvrant plusieurs domaines : exécution de scripts (XSS), fuite d’informations, consommation excessive de ressources et contournement de mécanismes de sécurité.

La vulnérabilité la plus critique atteint un score CVSS de 8.2, ce qui justifie une mise à jour rapide des composants concernés.

🧠 Vue d’ensemble

Les vulnérabilités identifiées se répartissent en quatre grandes catégories :

  • plusieurs failles de Cross-Site Scripting (XSS) permettant de contourner les mécanismes de sanitisation de DOMPurify et Angular ;
  • des vulnérabilités affectant Server-Side Rendering (SSR) et la gestion du cache, pouvant entraîner une fuite d’informations entre utilisateurs ;
  • deux vulnérabilités de déni de service (DoS) provoquant une consommation excessive de mémoire ou de ressources processeur ;
  • des défauts de conception dans certains mécanismes internes d’Angular (hash faible, DOM Clobbering) pouvant être exploités dans des scénarios d’attaque plus complexes.

Bien que les vulnérabilités soient nombreuses, elles concernent principalement les mécanismes de sécurité des interfaces web et non directement le cœur du système IBM i.


🔓 Vue d’ensemble des vulnérabilités

⚠️ Fuite d’informations via le cache Angular SSR (CVE-2026-50170 – CVSS 8.2)

Cette vulnérabilité constitue le point le plus sensible du bulletin.

Dans certaines configurations utilisant le Server-Side Rendering (SSR), Angular peut transférer vers le navigateur des réponses HTTP contenant des informations propres à un utilisateur sans vérifier correctement si celles-ci doivent être mises en cache.

En présence d’un proxy, d’un CDN ou d’un cache partagé, ces données peuvent alors être réutilisées et exposées à d’autres utilisateurs.

👉 Avec un score CVSS de 8.2, cette faille représente le risque le plus élevé du bulletin car elle peut conduire à une divulgation involontaire de données sensibles entre utilisateurs.


⚠️ Contournement des protections contre les attaques XSS (CVSS 6.1 à 6.9)

Les trois vulnérabilités affectant DOMPurify (CVE-2026-41238 – 6.9, CVE-2026-41239 – 6.8 et CVE-2026-41240 – 6.1) permettent de contourner certains mécanismes de sanitisation lors du traitement de contenus HTML.

De son côté, Angular est concerné par plusieurs vulnérabilités (CVE-2026-50557, CVE-2026-52725, CVE-2026-54265 et CVE-2026-54267, toutes notées CVSS 6.1) permettant de contourner les protections appliquées aux composants dynamiques, aux éléments SVG ou encore aux propriétés sensibles du DOM.

Selon le contexte de l’application, ces vulnérabilités peuvent permettre l’injection et l’exécution de code JavaScript dans le navigateur de l’utilisateur.


⚠️ Vulnérabilités de disponibilité (DoS) (CVSS 6.1 et 7.5)

Deux vulnérabilités touchent les fonctions formatNumber() (CVE-2026-50171 – CVSS 6.1) et formatDate() (CVE-2026-54268 – CVSS 7.5) d’Angular.

En utilisant des paramètres volontairement très volumineux ou spécialement construits, un attaquant peut provoquer une consommation excessive de mémoire ou de ressources processeur.

L’objectif n’est pas ici d’accéder aux données, mais de dégrader les performances de l’application, voire de provoquer un déni de service.


⚠️ Faiblesses complémentaires dans Angular (CVSS 6.1)

Le bulletin comprend également plusieurs vulnérabilités liées au fonctionnement interne du framework, notamment une faiblesse de DOM Clobbering (CVE-2026-54267) ainsi qu’une utilisation d’une fonction de hachage insuffisamment robuste pour la gestion du cache SSR (CVE-2026-54266).

Bien que leur impact soit plus contextuel, ces vulnérabilités peuvent faciliter des scénarios d’exploitation plus complexes lorsqu’elles sont combinées à d’autres failles.


🛠️ Mesures de correction et recommandations

IBM corrige ces vulnérabilités en intégrant les versions sécurisées des bibliothèques Angular et DOMPurify dans Navigator for i et Digital Certificate Manager.

En complément de l’application des correctifs IBM, il est recommandé de :

✔️ maintenir les composants Angular et DOMPurify à jour ;

✔️ limiter l’utilisation de contenus HTML ou de données provenant de sources non fiables ;

✔️ vérifier les configurations utilisant le Server-Side Rendering (SSR) et les mécanismes de cache ;

✔️ contrôler les traitements dynamiques de composants et les mécanismes de sanitisation.

👉 Les PTF IBM correspondants seront indiqués dans la capture d’écran du bulletin.


📌 Conclusion

Ce bulletin illustre une nouvelle fois l’importance des bibliothèques JavaScript dans la sécurité des interfaces d’administration d’IBM i.

Même si les vulnérabilités concernent des mécanismes variés, elles ont un point commun : elles affectent principalement les protections mises en œuvre par Angular et DOMPurify pour sécuriser les applications web.

👉 La priorité doit être donnée à la correction de la vulnérabilité CVE-2026-50170, qui présente le risque le plus élevé en raison de son potentiel de fuite d’informations, puis à la mise à jour complète des composants afin de bénéficier de l’ensemble des correctifs de sécurité.


🔗 Lien officiel IBM Security Bulletin 🔗


⚡Agissez maintenant pour sécuriser votre environnement IT avec STR-iCT !


🔐 Restez informé sur les dernières alertes cybersécurité !

Posté dans