Bienvenue sur Cyberveille

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-31 → 2026-06-07. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-0257 CVSS: N/A EPSS: 52.85% VLAI: Medium (confidence: 0.8983) CISA: KEV ProduitPalo Alto Networks — Cloud NGFW Publié2026-05-13T18:15:10.172Z Authentication bypass vulnerabilities in the GlobalProtect portal and gateway of Palo Alto Networks PAN-OS® software allows the attacker to bypass security restrictions and establish an unauthorized VPN connection. Panorama and Cloud NGFW are not impacted by these issues. ...

📅 Article publié le 6 juin 2026 sur le blog personnel d’Antonio Parata, présentant une expérience d’analyse dynamique du malware Lorem Ipsum à l’aide de trois outils personnalisés développés en Rust avec assistance de l’IA Claude Pro. 🔬 Contexte malware : Le malware Lorem Ipsum, déjà documenté dans un billet BlueVoyant, est disponible sur MalwareBazaar. Il nécessite Node.js pour s’exécuter, dépose son binaire dans C:\ProgramData\Microsoft Edge Updates Helper qZWpLKQXEGaa\Microsoft Edge Updates Helper.exe, et est fortement obfusqué, rendant l’analyse statique très difficile (IDA ne peut pas décompiler le code). ...

🔍 Contexte Publié le 18 mai 2026 par DeXpose en collaboration avec Buguard, cet article présente une investigation OSINT complète ayant conduit à l’attribution d’un threat actor connu sous l’alias Quellostanco, actif depuis début 2026 contre des cibles égyptiennes. Le dossier d’attribution complet a été transmis aux autorités judiciaires compétentes. 🎯 Activités malveillantes attribuées à Quellostanco L’acteur a opéré sous la bannière du groupe INT3X, en collaboration avec les alias CrowStealer et bigF : ...

🗓️ Contexte Source : Have I Been Pwned (haveibeenpwned.com), publié le 7 juin 2026. L’incident concerne Baker Distributing Company, distributeur en gros de matériel HVAC/R (chauffage, ventilation, climatisation, réfrigération) basé aux États-Unis. 🎯 Nature de l’incident En mai 2026, Baker Distributing a été ajouté au site d’extorsion « pay or leak » du groupe ShinyHunters. Début juin 2026, le groupe a publiquement diffusé les données qu’il affirme avoir extraites de l’infrastructure SharePoint et Salesforce de l’entreprise. ...

🔍 Contexte Publié le 3 juin 2026 par Vincent Li (FortiGuard Labs), cet article présente l’analyse technique détaillée de C0XMO, un nouveau variant du botnet Gafgyt découvert en mars 2026. La cible initiale était une entreprise technologique japonaise, mais l’adresse IP source de l’attaque a été tracée en Allemagne. 🎯 Vecteur d’infection initial Le malware se propage en exploitant CVE-2021-27137, un stack buffer overflow dans le service UPnP des firmwares DD-WRT antérieurs au changeset 45723. La vulnérabilité est déclenchée via des requêtes M-SEARCH malformées envoyées sur le port UDP 1900, exploitant une mauvaise gestion des valeurs ST:uuid: surdimensionnées par le parseur SSDP. ...

🔍 Contexte Source : CrowdSec Tracker (https://tracker.crowdsec.net/cves/CVE-2026-8181), publié le 8 juin 2026. La CVE a été initialement publiée sur le NVD le 14 mai 2026. 🐛 Vulnérabilité CVE-2026-8181 est une vulnérabilité critique d’authentification bypass (CVSS : 9.8) affectant le plugin Burst Statistics – Privacy-Friendly WordPress Analytics pour WordPress CMS, dans les versions 3.4.0 à 3.4.1.1. La faille réside dans une mauvaise gestion de la valeur de retour de la fonction is_mainwp_authenticated() lors de la validation des mots de passe d’application issus de l’en-tête Authorization. Un attaquant non authentifié, connaissant le nom d’utilisateur d’un administrateur, peut usurper son identité en fournissant n’importe quel mot de passe en Basic Authentication, aboutissant à une élévation de privilèges. ...

🏥 Contexte Source : communiqué officiel publié sur le site unimed.de, daté du 29 mai 2026 (publication CTI le 4 juin 2026). unimed Abrechnungservice für Kliniken und Chefärzte GmbH est une société allemande basée à Wadern, spécialisée dans la gestion de la facturation médicale pour cliniques et médecins-chefs. 🔍 Déroulement de l’incident Date de détection : 14 avril 2026 Type d’incident : cyberattaque avec exfiltration de données Le lendemain de la détection, les premiers clients identifiés ont été notifiés L’incident a été signalé à l’autorité de protection des données compétente et à la police Des experts forensiques IT externes ont été mandatés pour l’investigation Des experts forensiques en données ont été mobilisés pour l’analyse des données exfiltrées Un équipe externe de réponse sur incident (Incident Response) a été engagée 📂 Données compromises Seul un volume très limité de jeux de données a été exfiltré Les données concernent la correspondance relative aux contestations de factures de patients privés et patients payant directement (Privatpatienten und Selbstzahler) La grande majorité des données exfiltrées ne constitue pas des données financières ou de santé particulièrement sensibles L’identification des clients et patients concernés a nécessité une analyse détaillée (données structurées par numéros de facture et flux de paiement) Les résultats de l’analyse ont été communiqués individuellement aux clients concernés à partir de mi-mai 2026 📡 Surveillance post-incident Aucune publication des données volées n’a été détectée à ce jour Selon l’équipe IR externe, une publication des données n’est plus considérée comme probable Un monitoring continu est maintenu sur des sites du clear web et du dark web 🔄 Reprise d’activité Les systèmes IT ont été sécurisés et sont en fonctionnement normal depuis plusieurs semaines La majorité des clients a repris les opérations de facturation immédiatement après la remise en service Un Security Operations Center (SOC) externe assure désormais la surveillance continue des systèmes 📋 Nature du document Il s’agit d’un communiqué de presse officiel post-incident publié par la victime, visant à informer le public, les clients et les patients sur le déroulement de l’incident, les mesures prises et l’état actuel de la situation. ...

📰 Source : BleepingComputer — publié le 6 juin 2026 Contexte Une vulnérabilité critique identifiée sous CVE-2026-3300 affecte le plugin commercial Everest Forms Pro (versions 1.9.12 et antérieures) pour WordPress. Cette faille est activement exploitée dans la nature depuis le 13 avril, selon les données télémétriques de Wordfence. Détails techniques La vulnérabilité réside dans la fonctionnalité Complex Calculation du plugin, qui insère des valeurs soumises via des champs de formulaire dans une chaîne de code PHP, puis exécute ce code via la fonction eval(). ...

📰 Source : TechCrunch, publié le 5 juin 2026. Cet article rapporte le contenu d’une plainte judiciaire déposée en 2020 par William Barlow, ancien vice-président de la threat intelligence chez IBM jusqu’en août 2019, et dont le scellement vient d’être levé. 🎯 Contexte de l’affaire Barlow accuse IBM d’avoir subi plusieurs intrusions par des acteurs étatiques étrangers sur une décennie, et d’avoir délibérément dissimulé ces incidents sans notifier les autorités compétentes ni les clients gouvernementaux. IBM est un fournisseur majeur de cybersécurité pour le gouvernement fédéral américain, ce qui rend la dissimulation alléguée particulièrement significative. ...

🔍 Contexte Le 5 juin 2026, Bishop Fox (chercheur Jon Williams) publie une analyse technique approfondie d’une chaîne d’exploitation affectant UniFi OS Server d’Ubiquiti, couverte par le Security Advisory Bulletin 064 (SAB-064) publié le 21 mai 2026. L’analyse porte sur les versions 5.0.6 et inférieures (unifi-core ≤ 5.0.126), validée sur une cible live. 🧩 Chaîne d’exploitation (3 parties) Partie 1 — Contournement de l’authentification (CVE-2026-34908 / CVE-2026-34909, CVSS 10.0) Le proxy Nginx utilise $request_uri (brut, encodé) pour la vérification d’authentification via auth_request, mais $uri (normalisé, décodé) pour le routage vers les backends. Une requête dont l’URI brut commence par /api/auth/validate-sso/ (route publique exemptée) mais dont la forme normalisée résout vers /proxy/<service>/ (route authentifiée) contourne le contrôle d’accès. Des séquences de path traversal encodées (..%2f, ..%2e, %2e%2e) permettent cette divergence. Partie 2 — Injection de commande (CVE-2026-34910, CVSS 10.0 / CVE-2026-33000, CVSS 9.1) ...