📅 27 Avril 2026
L’environnement IBM Rational Developer for i est concerné par plusieurs vulnérabilités affectant des bibliothèques JavaScript largement utilisées dans les applications web modernes, notamment des clients HTTP, des routeurs et des utilitaires de manipulation de données.
Les composants impactés couvrent plusieurs couches de l’application :
- la gestion des requêtes HTTP côté client (axios)
- la manipulation d’objets JavaScript (Lodash)
- la gestion des routes et redirections (React Router)
- l’exécution et la navigation côté client (React / React Router)
🔎 Focus sécurité
⚠️ CVE-2026-25639 – Déni de service via Axios (CVSS 7.5)
Cette vulnérabilité affecte Axios, un client HTTP très utilisé dans les applications JavaScript.
Le problème apparaît lors de la fusion de configurations via la fonction mergeConfig. Lorsqu’un objet malveillant contenant la propriété __proto__ est injecté (par exemple via un JSON non contrôlé), le traitement peut provoquer une erreur de type TypeError.
Dans certains scénarios, cette erreur n’est pas correctement gérée et peut entraîner un arrêt du processus applicatif côté client ou Node.js, conduisant à un déni de service.
⚠️ CVE-2025-13465 – Prototype pollution dans Lodash (CVSS 5.3)
Cette vulnérabilité dans Lodash permet la suppression de propriétés sur des objets JavaScript via certaines fonctions comme _.unset et _.omit.
Un attaquant peut exploiter des chemins de propriétés spécialement construits pour modifier le comportement des objets globaux. Contrairement à d’autres formes de prototype pollution plus critiques, cette faille permet ici uniquement la suppression de propriétés, mais cela peut tout de même perturber la logique applicative et provoquer des comportements inattendus.
⚠️ CVE-2025-68470 – Open redirect via React Router (CVSS 6.5)
Cette vulnérabilité affecte React Router et concerne la gestion des chemins de navigation.
Lorsqu’une application utilise des entrées non fiables pour construire des routes via navigate(), Link ou redirect(), un attaquant peut forcer une redirection vers un site externe non prévu.
Ce type de faille est particulièrement sensible dans les applications web car il peut être utilisé pour des attaques de phishing ou pour détourner des flux utilisateurs légitimes vers des destinations malveillantes.
⚠️ CVE-2026-22029 – Exécution JavaScript non intentionnelle via redirection (CVSS 6.1)
Cette vulnérabilité touche également React Router dans ses modes avancés (Framework Mode, Data Mode, RSC).
Le problème apparaît lorsque des redirections sont construites à partir de contenus non fiables. Dans certains cas, cela peut conduire à la génération d’URL mal formées contenant du JavaScript exploitable côté client.
L’impact reste conditionnel (notamment dépendant de la configuration utilisée), mais il peut conduire à une exécution de script non souhaitée dans le navigateur de l’utilisateur.
🛠️ Mesures de correction et recommandations
La correction passe par la mise à jour des dépendances concernées dans IBM Rational Developer for i :
📦 Mise à jour de Axios vers 0.30.3 ou 1.13.5
📦 Mise à jour de Lodash vers 4.17.23 ou supérieur
📦 Mise à jour de React Router vers les versions corrigées (≥ 6.30.2 / 7.12.0)
En complément, il est recommandé de :
✔️ Ne jamais utiliser de données non fiables pour construire des chemins de navigation
✔️ Valider strictement les objets de configuration HTTP côté client
✔️ Éviter l’exposition directe de structures JSON non filtrées
✔️ Contrôler les flux de redirection dans les applications SPA
📌 Conclusion
Ce bulletin illustre un ensemble de vulnérabilités typiques des applications JavaScript modernes intégrées dans des environnements industriels comme IBM Rational Developer for i.
Individuellement, ces failles présentent un impact modéré à élevé, mais leur intérêt principal réside dans leur capacité à affecter la stabilité, la navigation et l’intégrité du comportement applicatif côté client.
👉 Une mise à jour coordonnée des dépendances reste la meilleure approche pour réduire la surface d’attaque globale.
🔗 Lien officiel IBM Security Bulletin 🔗
⚡Agissez maintenant pour sécuriser votre environnement IT avec STR-iCT !
🔐 Restez informé sur les dernières alertes cybersécurité !
