IBM - CVE-2026-9074
Date de publication :
Il s'agit d'une vulnérabilité d'injection SQL localisée dans la fonctionnalité de réinitialisation de mot de passe d'IBM API Connect.
IBM API Connect est une plateforme de gestion d'API d'entreprise, permettant de créer, publier, sécuriser et superviser des interfaces de programmation exposées par une organisation.
Elle survient lorsque des données fournies par l'utilisateur sont intégrées à une requête SQL sans neutralisation appropriée des caractères spéciaux, permettant à un attaquant de modifier la logique de la requête exécutée par le serveur. Cette injection est accessible sans authentification préalable, un attaquant distant pouvant l'exploiter directement via le point d'entrée de réinitialisation de mot de passe.
Elle permet la lecture et la modification non autorisées des données stockées dans la base sous-jacente, incluant potentiellement des informations liées aux comptes utilisateurs.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• IBM API Connect versions 10.0.8.0 jusqu'à 10.0.8.9
• IBM API Connect V12 (déploiement On-Premise) versions 12.1.0.0 jusqu'à 12.1.0.3
Solutions ou recommandations
• IBM API Connect versions 12.1.1.0 et supérieures