Rapport De Vulnérabilité

Selon gbhackers.com (Divya, 3 novembre 2025), des chercheurs ont découvert une vulnérabilité critique d’exécution de code à distance non authentifiée dans UniFi OS d’Ubiquiti, récompensée 25 000 $, qui permet la prise de contrôle complète des équipements, dont les routeurs UniFi Dream Machine et les systèmes d’accès. 🚨 Vulnérabilité: CVE-2025-52665 — une RCE non authentifiée via un endpoint de sauvegarde exposé. Un endpoint prévu pour l’interface loopback, /api/ucore/backup/export, était en réalité accessible depuis l’extérieur sur le port 9780, créant une surface d’attaque critique. ...

Selon Endor Labs, une vulnérabilité critique d’injection SQL, CVE-2025-64459 (CVSS v3.1: 9.1), affecte le framework web Python Django. Sont concernés Django 6.0 (beta), 5.2, 5.1 et 4.2 (et potentiellement des versions plus anciennes). Des correctifs sont disponibles dans Django 5.2.8, 5.1.14 et 4.2.26. 🚨 Le problème survient lorsque des applications passent des entrées utilisateur directement à des méthodes QuerySet (filter(), exclude(), get()) via l’expansion de dictionnaire. Des attaquants peuvent injecter les paramètres internes de Django — _connector (AND/OR/XOR) et _negated (inversion booléenne) — pour manipuler la logique SQL, entraînant accès non autorisé, contournement d’authentification et élévation de privilèges, parfois sans authentification préalable. ...

Source: Fenrisk — Article technique décrivant une vulnérabilité d’exécution de code à distance dans CentOS Web Panel (CWP), ses conditions d’exploitation, une preuve de concept et la disponibilité d’un correctif. • La vulnérabilité (CVE-2025-48703) combine un contournement d’authentification et une injection de commande dans le paramètre t_total du module « filemanager » (action changePerm). Le backend exécute un chmod via sh -c, rendant l’instruction injectable. Un attaquant non authentifié, connaissant un nom d’utilisateur non-root valide, peut ainsi exécuter des commandes arbitraires. ...

Source: Wordfence (blog). Wordfence décrit une vulnérabilité de lecture arbitraire de fichiers dans le plugin WordPress Anti‑Malware Security and Brute‑Force Firewall (100 000+ installations), exploitable par des comptes authentifiés au niveau abonné et corrigée en version 4.23.83. Type: Arbitrary File Read / LFI via une action AJAX sans contrôle de capacité. Impact: lecture de fichiers sensibles du serveur, dont wp-config.php (identifiants DB, clés/salts). Portée: versions 4.23.81 et antérieures. Correctif publié le 15 oct. 2025. Découverte: Dmitrii Ignatyev, via le Wordfence Bug Bounty Program (bounty: 960 $). 🔍 Détails techniques ...

Source: Truesec (référence citée) — Contexte: divulgation et exploitation active de deux vulnérabilités critiques affectant des passerelles TP-Link Omada. • Deux vulnérabilités critiques sont décrites: CVE-2025-7850 (injection de commandes via le portail web après authentification administrateur) et CVE-2025-7851 (accès shell root). Ces failles peuvent être chaînées pour aboutir à une compromission complète du système. • Impact et vecteur: l’exploitation de CVE-2025-7850 via l’interface web permet l’exécution de commandes arbitraires avec des privilèges étendus, tandis que CVE-2025-7851 fournit un accès root. L’accès nécessite des identifiants administrateur, faisant des compromissions d’identifiants ou menaces internes des facteurs de risque clés. ⚠️ Une exploitation active “in the wild” est signalée et du code de preuve de concept est public. ...

Selon ian.sh (Ian Carroll), dans un billet publié le 22/10/2025, des chercheurs (Ian Carroll, Gal Nagli, Sam Curry) ont identifié une faille critique sur le portail de « Driver Categorisation » de la FIA lié aux événements de Formule 1. — Découverte et vecteur d’attaque — Les chercheurs ont exploité une vulnérabilité de mass assignment / contrôle d’accès insuffisant sur l’API (requête HTTP PUT vers « /api/users/{id} »), où le champ JSON roles était accepté côté serveur. En injectant { "roles": [{ "id": 1, "name": "ADMIN" }] }, ils ont pu s’assigner le rôle ADMIN, puis, après réauthentification, accéder au tableau de bord d’administration. ...

Selon Cisco Talos (blog), des chercheurs ont publié cinq vulnérabilités touchant des systèmes de contrôle industriel et un routeur IoT, avec des règles Snort disponibles pour détecter les tentatives d’exploitation. Les failles comprennent un déni de service dans OpenPLC (CVE-2025-53476) et quatre vulnérabilités dans le routeur IoT Planet WGR-500: dépassements de pile, injection de commandes OS et format string. Impact potentiel: perturbation d’opérations industrielles, exécution de commandes arbitraires et corruption mémoire ⚠️. ...

Selon Imperva (blog), une vulnérabilité critique CVE-2025-61882 affecte Oracle E‑Business Suite 12.2.3 à 12.2.14, ciblant le composant Concurrent Processing/BI Publisher Integration, et fait l’objet d’exploitations actives à grande échelle. 🔥 Vulnérabilité et impact: Il s’agit d’une exécution de code à distance pré-authentification (RCE). Les fonctions finance, RH et ERP cœur sont impactées, exposant les organisations à un risque majeur. 🚨 Exploitation active: Des acteurs multiples, dont Cl0p, exploitent cette faille depuis août. Imperva rapporte plus de 557 000 tentatives d’attaque en une seule journée au niveau mondial. ...

Source: National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse — publication d’un rapport de test d’intrusion et revue de code du CMS TYPO3 (core et 10 extensions), menés de nov. 2024 à fév. 2025. • Résultats globaux: le noyau TYPO3 montre une posture robuste (2 failles de sévérité faible), tandis que plusieurs extensions présentent davantage de failles, dont 1 vulnérabilité critique. Au total, 8 vulnérabilités: 1 Critique, 1 Haute, 3 Moyennes, 3 Faibles. Les corrections ont été apportées par le projet TYPO3 et les mainteneurs d’extensions, avec publication de correctifs entre mars et mai 2025. ...

Selon un rapport public du National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse et publié le 13 octobre 2025, un audit de QGIS Server et QWC2 mené d’avril à mai 2025 a révélé une bonne posture globale, avec deux vulnérabilités XSS stockées à gravité élevée dans QWC2 désormais corrigées. 🧪 Portée et méthode Produits testés: QGIS Server (final-3_42_3, e84bda9) et QWC2 (v2025.11-lts, df80336), environnement docker « qwc-docker ». Approche: tests dynamiques principalement manuels (Burp Suite, fuzzing AFL++), analyses statiques (SonarQube, Snyk, Gitleaks), alignés OWASP ASVS, installation locale avec réglages par défaut. Période: 01.04.2025 – 30.05.2025, ~20 j/h par deux experts. 🛡️ Résultats QGIS Server ...