Rapport De Vulnérabilité

🔍 Contexte Publié le 8 mai 2026 sur GitHub par le chercheur Ashen Chathuranga (ktauchathuranga), ce dépôt présente l’advisory de sécurité et le proof-of-concept associés à CVE-2025-70994, une vulnérabilité affectant le système d’entrée sans clé du vélo électrique Yadea T5 (modèles fabriqués à partir de 2024). La divulgation coordonnée a eu lieu le 23 avril 2026 en partenariat avec la CISA (DHS) et le CERT/CC. 🛡️ Vulnérabilité La faille est classifiée CWE-1390 (Weak Authentication) et reçoit un score CVSS v3.1 de 7.3 (High) avec le vecteur AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H/E:P/RL:U/RC:C. ...

🔍 Contexte Publié le 28 avril 2026 sur le blog d’AISLE (aisle.com), cet article détaille les résultats d’une analyse de sécurité autonome menée sur OpenEMR, l’un des systèmes de dossiers médicaux électroniques open-source les plus utilisés au monde. OpenEMR est déployé par plus de 100 000 prestataires médicaux au service de plus de 200 millions de patients dans 34 langues, et est certifié ONC sous le programme fédéral américain de certification Health IT. ...

🔍 Contexte Le 6 mai 2026, Palo Alto Networks a publié un avis de sécurité concernant CVE-2026-0300, une vulnérabilité critique de type buffer overflow (CWE-787) affectant les appliances firewall PA-Series et VM-Series sous PAN-OS. L’information a été relayée et analysée par Rapid7 le même jour. 🎯 Vulnérabilité Type : Buffer overflow non authentifié (CWE-787) Score CVSSv4 : 9.3 (critique) Composant affecté : User-ID™ Authentication Portal (aussi appelé Captive Portal), fonctionnalité non activée par défaut Vecteur d’attaque : Un attaquant distant non authentifié peut envoyer des paquets spécialement forgés vers un dispositif exposant le portail d’authentification, aboutissant à une exécution de code arbitraire avec les privilèges root Prérequis : Aucune authentification ni interaction utilisateur requise Périmètre non affecté : Prisma Access, Cloud NGFW, Panorama 📦 Versions affectées PAN-OS 12.1 : < 12.1.4-h5 / < 12.1.7 PAN-OS 11.2 : < 11.2.4-h17 / < 11.2.7-h13 / < 11.2.10-h6 / < 11.2.12 PAN-OS 11.1 : < 11.1.4-h33 / < 11.1.6-h32 / < 11.1.7-h6 / < 11.1.10-h25 / < 11.1.13-h5 / < 11.1.15 PAN-OS 10.2 : < 10.2.7-h34 / < 10.2.10-h36 / < 10.2.13-h21 / < 10.2.16-h7 / < 10.2.18-h6 ⚠️ Exploitation active Palo Alto Networks a confirmé une exploitation limitée dans la nature, ciblant des portails d’authentification exposés à des adresses IP non fiables ou à l’internet public. Shodan identifie environ 225 000 instances PAN-OS exposées sur internet, représentant une surface d’attaque significative. ...

🔍 Contexte Rapport publié le 27 avril 2026 par CrowdSec sur la plateforme VulnTracking, basé sur la télémétrie du réseau CrowdSec. L’article documente le passage de CVE-2026-21643 du stade d’advisory à celui d’exploitation active en environnement réel. 🎯 Vulnérabilité ciblée CVE-2026-21643 est une injection SQL non authentifiée affectant Fortinet FortiClient EMS version 7.4.4, la plateforme de gestion centralisée des endpoints Fortinet. Le score CVSS est de 9.1 (critique). Le vecteur d’attaque repose sur : ...

📊 Source : HelpNet Security, 23 avril 2026 — Rapport InsurSec 2026 publié par At-Bay, basé sur plus de 100 000 années-polices de données sinistres. Tendances générales Le rapport documente une hausse de 7% en glissement annuel de la fréquence globale des sinistres cyber, avec une sévérité moyenne record de 221 000 $ tous types d’incidents confondus. Ransomware : le type d’incident le plus coûteux Sévérité moyenne ransomware : 508 000 $, en hausse de 16% par rapport à l’année précédente Le ransomware constitue de loin le type d’incident le plus coûteux du portefeuille Impact sur les petites entreprises (< 25 M$ de CA) Les entreprises dont le chiffre d’affaires est inférieur à 25 millions de dollars ont enregistré les évolutions les plus marquées : ...

🗓️ Contexte Source : IT-Connect, publié le 20 avril 2026. Le 15 avril 2026, la présidente de la Commission européenne Ursula von der Leyen a officiellement présenté Age Verification, une application mobile open source destinée à permettre aux citoyens européens de prouver leur âge en ligne (notamment pour accéder aux réseaux sociaux) sans transmettre de données personnelles sensibles aux plateformes. Son déploiement obligatoire est prévu pour septembre 2026. 🔍 Vulnérabilités identifiées Le consultant en sécurité Paul Moore a publié le 16 avril 2026 sur X une démonstration vidéo montrant le contournement complet de l’application en moins de 2 minutes. Trois failles majeures ont été identifiées : ...

🔍 Contexte Source : CrowdSec VulnTracking Report, publié le 20 avril 2026. Le réseau CrowdSec suit l’exploitation active de CVE-2026-21445, une vulnérabilité critique affectant Langflow, un outil open-source populaire (147 000 étoiles GitHub) pour la création et le déploiement d’agents IA et d’automatisation de workflows. 🐛 Vulnérabilité CVE-2026-21445 est un bypass d’authentification affectant plusieurs endpoints critiques de l’API Langflow. Des endpoints de monitoring étaient accessibles sans authentification, exposant : L’historique des conversations utilisateurs L’historique des transactions Les données de sessions de messages (supprimables sans autorisation) Les versions antérieures à 1.7.0.dev45 sont affectées. La version corrigée est 1.7.1. ...

🔍 Contexte Publié le 22 avril 2026 par l’équipe Red Team de Deutsche Telekom sur leur blog sécurité GitHub, cet article divulgue de manière coordonnée une vulnérabilité haute sévérité baptisée Pack2TheRoot, référencée CVE-2026-41651 (CVSS 3.1 : 8.8). 🎯 Nature de la vulnérabilité La vulnérabilité réside dans le démon PackageKit, une couche d’abstraction de gestion de paquets multi-distributions. Elle permet à un attaquant local non privilégié d’installer ou supprimer des paquets système sans autorisation, conduisant à une élévation de privilèges complète (root). ...

🔍 Contexte Publié le 20 avril 2026 sur le blog de Doyensec par Adrian Denkiewicz, cet article détaille une campagne de fuzzing menée contre CFITSIO, la bibliothèque C de référence pour le traitement du format astronomique FITS, maintenue par la NASA/HEASARC. La recherche a été conduite en deux rounds distincts, le second ciblant spécifiquement la surface d’attaque Extended Filename Syntax (EFS). 🛠️ Méthodologie Le chercheur a utilisé AFL++ comme fuzzer principal, combiné à GPT-5-Codex pour : ...

📰 Contexte Source : BleepingComputer, publié le 18 avril 2026. La société de sécurité applicative Endor Labs a publié un rapport détaillant une vulnérabilité critique d’exécution de code à distance (RCE) dans protobuf.js, l’implémentation JavaScript des Protocol Buffers de Google. La bibliothèque est téléchargée environ 50 millions de fois par semaine sur npm. 🔍 Détails techniques La vulnérabilité est identifiée sous GHSA-xq3m-2v4x-88gg (aucun CVE officiel attribué à ce jour). Elle est causée par une génération dynamique de code non sécurisée : ...