IBM - CVE-2026-1567

Date de publication :

Il s’agit d’une vulnérabilité dans IBM InfoSphere Information Server lors du traitement de contenus XML

IBM InfoSphere Information Server est une plateforme IBM d’intégration et de gouvernance de données (ETL/DataStage, qualité de données, catalogage), utilisée pour concevoir et exécuter des flux de traitement de données.

L’application accepte un XML contenant des références à des entités externes, et la configuration/gestion de ces entités n’est pas suffisamment restreinte

Un attaquant capable de soumettre un XML malveillant peut forcer le serveur à résoudre ces références et à traiter des ressources externes, ce qui peut entraîner la lecture et l’exposition d’informations sensibles accessibles depuis le serveur. 

CVE-2026-1567

[Score CVSS v3.1 : 7.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-611 : Improper Restriction of XML External Entity Reference

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

IBM InfoSphere Information Server versions 11.7.0.0 jusqu’à 11.7.1.6.

Solutions ou recommandations

IBM InfoSphere Information Server versions 11.7.1.0, 11.7.1.5 et 11.7.1.6 avec application du correctif de sécurité IBM (APAR DT461311).

Liens