Rapport De Vulnérabilité

Selon une publication d’Omer Mayraz, une vulnérabilité critique baptisée « CamoLeak » affectait GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code depuis des dépôts privés et le contrôle des réponses de Copilot. GitHub a corrigé le problème en désactivant complètement le rendu des images dans Copilot Chat au 14 août 2025. • Découverte et impact. En juin 2025, l’auteur identifie une faille (CVSS 9.6) dans GitHub Copilot Chat qui, via prompt injection à distance, permet d’orienter les réponses (incluant la suggestion de code malveillant ou de liens) et d’exfiltrer des données de dépôts privés auxquels l’utilisateur victime a accès. Le comportement tient au fait que Copilot agit avec les mêmes permissions que l’utilisateur. ...

Selon Truesec, Zero Day Initiative (ZDI) a publié la divulgation de 13 vulnérabilités affectant Ivanti Endpoint Manager, sans CVE assignés et sans correctifs disponibles à ce stade. • Vue d’ensemble: ZDI signale 13 vulnérabilités dont 12 vulnérabilités d’exécution de code à distance (RCE) nécessitant une authentification — majoritairement des injections SQL — et 1 vulnérabilité d’élévation locale de privilèges (ZDI-25-947). L’absence de patch oblige les organisations à recourir à des contrôles compensatoires (restrictions d’accès, liste blanche IP, principe du moindre privilège, surveillance accrue des requêtes SQL et de l’activité des comptes de service). ⚠️ ...

Source : Trellix – Dans son « Bug Report » de septembre 2025, Trellix recense cinq vulnérabilités critiques touchant des composants largement déployés (Chrome V8, Windows NTLM/MSMQ, Sangoma FreePBX, Django), avec deux failles activement exploitées. ⚠️ • Vulnérabilités clés CVE-2025-10585 (Chrome V8) : type confusion permettant une exécution de code à distance (RCE) via du contenu web malveillant. CVE-2025-57819 (FreePBX) : injection SQL dans la validation de modular.php (module endpoint) menant à contournement d’authentification et exécution de commandes root via l’endpoint /admin/ajax.php. CVE-2025-54918 (Windows NTLM) : élévation de privilèges d’un compte peu privilégié vers SYSTEM. CVE-2025-50177 (Windows MSMQ) : use-after-free avec condition de course exploitée à distance (vecteur réseau) mais à haute complexité. CVE-2025-57833 (Django) : mauvaise sanitisation des alias de colonnes dans FilteredRelation/QuerySet, conduisant à injection SQL pouvant atteindre une RCE sur PostgreSQL via COPY…TO PROGRAM. • Exploitation observée et disponibilité d’exploits ...

En mai 2025, l’ingénieur sécurité RyotaK de GMO Flatt Security a découvert une vulnérabilité critique (CVE-2025-59489) dans le moteur Unity affectant tous les jeux et applications produits depuis la version 2017.1[web:135][web:137][web:139]. Cette faille permet à une application malveillante sur le même appareil d’exploiter la gestion des intents sous Android pour injecter des arguments dans Unity Runtime. Un attaquant peut ainsi charger une bibliothèque partagée (.so) arbitraire et exécuter du code malveillant avec les droits de l’application Unity, impactant potentiellement l’intégrité et la confidentialité des données utilisateur. ...

Source: manchicken (GitHub) — Le chercheur publie une divulgation responsable d’une vulnérabilité signalée à 1Password en octobre 2023 et autorisée à la publication via BugCrowd en janvier 2024, portant sur le comportement de 1Password CLI (op). • Nature de la vulnérabilité: une fois le coffre déverrouillé via 1Password CLI, la session reste active et est héritée par les processus enfants, sans nouvelle invite. Ce comportement permet à des composants de la chaîne d’outillage (ex. extensions ou scripts post‑installation) d’accéder aux secrets sans interaction supplémentaire. Le chercheur montre que les mots de passe sont récupérables en clair et que l’outil peut énumérer les coffres et les éléments. ...

Selon watchTowr Labs, une vulnérabilité critique CVE-2025-36604 affecte Dell UnityVSA jusqu’à la version 5.5.0.0.5.259, permettant une injection de commandes avant authentification; Dell a publié un correctif en 5.5.1. ⚠️ Impact et portée: Des attaquants non authentifiés peuvent exécuter des commandes arbitraires sur des appliances de stockage vulnérables, avec un risque d’accès à des données sensibles. Détails techniques: La faille réside dans la fonction getCASURL du module Perl AccessTool.pm lorsque le paramètre $type=‘login’. La variable $uri, issue directement de $r->uri() (requête HTTP), est concaténée sans sanitisation dans une chaîne ($exec_cmd) puis exécutée via des backticks Perl. Le chemin vulnérable est déclenché par la configuration Apache (PerlModule) qui enregistre AccessHandler::handler pour chaque requête. Une requête non authentifiée vers une ressource valide (sans les cookies attendus) appelle successivement make_return_address(), getCASLoginURL(), puis getCASURL(type=‘login’), menant à l’exécution de la commande injectée. La vulnérabilité a échappé à la détection car elle ne se manifeste que lorsque l’URI pointe vers une ressource nécessitant la résolution du handler. Alors que d’autres entrées étaient correctement échappées (quotes simples), $uri dans le flux « login » ne l’était pas. ...

Selon une publication technique de ProjectBlack, des chercheurs ont mis au jour une vulnérabilité critique de type Local File Inclusion (LFI) non authentifiée affectant la plateforme de suivi GPS Traccar sur Windows, permettant la lecture de fichiers arbitraires et l’exposition d’identifiants sensibles. La faille provient du composant DefaultOverrideServlet de Traccar, où la méthode getResource() passe le paramètre contrôlé par l’utilisateur à Jetty Resource.addPath() sans validation suffisante des séquences d’échappement spécifiques à Windows. Bien que Jetty URIUtil.canonicalPath() bloque les traversées de chemin avec des slashs, il ne neutralise pas correctement les backslashes sous Windows, ouvrant la voie à une LFI non authentifiée. ...

Source: Unit 42 (Palo Alto Networks). Les chercheurs décrivent trois vulnérabilités critiques dans le firmware du routeur TOTOLINK X6000R (V9.4.0cu.1360B20241207) permettant à des attaquants non authentifiés d’exécuter des commandes (jusqu’aux privilèges root), d’intercepter le trafic et de manipuler des fichiers système critiques. TOTOLINK a publié un correctif dans le firmware V9.4.0cu.1498B20250826. Les failles résident dans l’endpoint central du panneau web, /cgi-bin/cstecgi.cgi. • CVE-2025-52905: injection d’arguments due à une liste de blocage incomplète qui ne filtre pas le caractère tiret (-). • CVE-2025-52906: injection de commandes non authentifiée dans la fonction setEasyMeshAgentCfg via le paramètre agentName, permettant l’exécution de commandes avec les privilèges du serveur web. • CVE-2025-52907: contournement de sécurité affectant plusieurs composants, dont setWizardCfg, autorisant des écritures arbitraires de fichiers en contournant les contrôles de validation. ...

Source: blog.nviso.eu (NVISO, Maxime Thiebaut) — NVISO détaille l’exploitation zero‑day de CVE-2025-41244, une élévation de privilèges locale affectant la découverte de services de VMware Tools et VMware Aria Operations, observée in‑the‑wild depuis mi‑octobre 2024 et officiellement divulguée par Broadcom le 29 septembre 2025. • Vulnérabilité et impact La faille (CWE‑426: Untrusted Search Path) provient de la logique du script get-versions.sh (open‑vm‑tools) utilisant des regex trop larges (classe \S) qui peuvent faire correspondre et exécuter des binaires non système (ex. /tmp/httpd) en contexte privilégié. Impact: exécution de code avec des privilèges élevés (root) par un utilisateur local non privilégié, dans les deux modes de découverte: credential-based (logique côté Aria Operations) et credential-less (logique dans VMware Tools). • Produits et composants concernés ...

Selon la Zero Day Initiative (Trend Micro), une vulnérabilité critique CVE-2025-23298 affecte la bibliothèque NVIDIA Transformers4Rec et permet une exécution de code à distance avec privilèges root lors du chargement de checkpoints de modèles, un correctif ayant été publié par NVIDIA. La faille provient de la fonction load_model_trainer_states_from_checkpoint qui utilise torch.load() sans paramètres de sûreté. Ce chargement désérialise directement des données pickle, ce qui autorise des fichiers de checkpoint malveillants à exécuter du code arbitraire via la méthode reduce de pickle pendant la désérialisation. L’exploit démontré intègre des commandes os.system dans des objets state_dict du modèle. ...