IBM - CVE-2025-36247
Date de publication :
Une vulnérabilité dans le mécanisme de traitement des données XML d’IBM Db2. Elle permet une injection d’entités externes XML (XXE) pouvant entraîner la divulgation d’informations sensibles ou une consommation excessive de ressources mémoire.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Risques
• Atteinte à la confidentialité des données
• Déni de service (à distance)
Exploitation
La vulnérabilité exploitée est du type
CWE-611 : Improper Restriction of XML External Entity Reference
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
CWE-611 : Improper Restriction of XML External Entity Reference
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• IBM Db2 versions 11.5.0 jusqu'à 11.5.9
• IBM Db2 versions 12.1.0 jusqu'à 12.1.3
Solutions ou recommandations
IBM Db2 versions incluant les correctifs spéciaux basés sur 11.5.9 (Special Build #66394 ou supérieur) et 12.1.2 / 12.1.3 (Special Build #72296, #74153 ou supérieurs)