Plateforme
ibm
Composant
verify-identity-access
Corrigé dans
11.0.3
10.0.10
11.0.3
10.0.10
La vulnérabilité CVE-2026-1346 concerne une escalade de privilèges dans IBM Verify Identity Access. Elle permet à un utilisateur authentifié localement d'élever ses privilèges à root, compromettant ainsi la sécurité du système. Cette faille affecte les versions 10.0 à 10.0.9.1 et 11.0 à 11.0.2 d'IBM Verify Identity Access Container. Une correction est disponible pour ces versions.
La vulnérabilité CVE-2026-1346 affecte IBM Verify Identity Access Container (versions 11.0 à 11.0.2) et IBM Security Verify Access Container (versions 10.0 à 10.0.9.1), ainsi que IBM Verify Identity Access (versions 11.0 à 11.0.2) et IBM Security Verify Access (versions 10.0 à 10.0.9.1). Elle permet à un utilisateur localement authentifié d'élever ses privilèges au niveau root en raison de l'exécution de processus avec des privilèges inutiles. Un attaquant pourrait exploiter cette vulnérabilité pour prendre le contrôle total du système affecté, compromettant la confidentialité, l'intégrité et la disponibilité des données et des ressources.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant ait un accès authentifié au système affecté. Étant donné que l'élévation de privilèges se produit par l'exécution avec des privilèges excessifs, un attaquant pourrait exploiter cette vulnérabilité s'il peut exécuter du code avec des privilèges élevés. L'impact potentiel est important, car un attaquant disposant de privilèges root peut contrôler complètement le système. L'absence de correctif disponible augmente le risque, ce qui rend essentiel la mise en œuvre de mesures d'atténuation temporaires jusqu'à ce qu'une mise à jour soit publiée.
Organizations utilizing IBM Verify Identity Access in environments with local user authentication are at risk. This includes deployments with legacy configurations, shared hosting environments where multiple users have local access, and those relying on default or poorly configured access controls. Specifically, environments where local accounts have unnecessary privileges are particularly vulnerable.
• ibm / server:
# Check for vulnerable versions
grep -r '10.0\|11.0' /opt/IBM/VerifyIdentityAccess/bin/version.sh• linux / server:
# Audit user privileges and processes running with elevated permissions
sudo -u root ps aux | grep -i 'verifyidentityaccess'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
Actuellement, IBM n'a pas publié de correctif pour cette vulnérabilité. La mitigation recommandée est de mettre à niveau vers une version corrigée dès qu'elle est disponible. En attendant, appliquez le principe du moindre privilège : limitez les privilèges des utilisateurs et des processus au minimum requis pour effectuer leurs tâches. Surveiller les journaux du système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles. De plus, examinez les configurations de sécurité des conteneurs et appliquez les meilleures pratiques pour renforcer la posture de sécurité globale.
Aplique las actualizaciones de seguridad proporcionadas por IBM para IBM Verify Identity Access Container y IBM Security Verify Access Container a las versiones corregidas disponibles en el sitio de soporte de IBM. Consulte la nota de soporte de IBM (https://www.ibm.com/support/pages/node/7268253) para obtener instrucciones detalladas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions 11.0 à 11.0.2 d'IBM Verify Identity Access et IBM Security Verify Access sont affectées.
Non, IBM n'a pas publié de correctif pour cette vulnérabilité.
Appliquez le principe du moindre privilège, surveillez les journaux du système et mettez à niveau vers une version corrigée dès qu'elle est disponible.
Un attaquant pourrait prendre le contrôle total du système, compromettant la confidentialité, l'intégrité et la disponibilité des données.
Consultez les sources officielles d'IBM Security pour obtenir des mises à jour et plus de détails sur CVE-2026-1346.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.