IBM - CVE-2026-4101

Date de publication :

Il s'agit d'une vulnérabilité d'authentification incorrecte dans IBM Verify Identity Access et IBM Security Verify Access.

IBM Verify Identity Access (anciennement IBM Security Access Manager) est une solution IAM et SSO d'entreprise. Elle assure l'authentification centralisée, la gestion des identités et le contrôle d'accès aux applications métier. Elle est déployée principalement dans les grandes organisations, les établissements bancaires et certains établissements de santé publics sous forme d'appliance ou de conteneur.

Le mécanisme d'authentification présente un comportement défaillant sous certaines conditions de charge élevée du serveur. Dans ces conditions, les contrôles d'authentification ne s'exécutent pas correctement, laissant passer des requêtes qui auraient dû être rejetées. Ce comportement est lié à des conditions de course ou à une défaillance de la logique de validation lors de pics de traitement.

Elle permet à un attaquant distant non authentifié de contourner les mécanismes d'authentification et d'obtenir un accès non autorisé à l'application, avec un impact total en confidentialité, intégrité et disponibilité.

CVE-2026-4101

[Score CVSS v3.1 : 8.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-287 : Improper Authentication

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   IBM Verify Identity Access versions 11.0 jusqu'à 11.0.2
•   IBM Security Verify Access versions 10.0 jusqu'à 10.0.9.1
•   IBM Verify Identity Access Container versions 11.0 jusqu'à 11.0.2
•   IBM Security Verify Access Container versions 10.0 jusqu'à 10.0.9.1

Solutions ou recommandations

•   IBM Verify Identity Access version 11.0.2 IF1 et supérieures
•   IBM Security Verify Access version 10.0.9.1 IF1 et supérieures
•   IBM Verify Identity Access Container version 11.0.2 IF1 et supérieures
•   IBM Security Verify Access Container version 10.0.9.1 IF1 et supérieures

Liens