Rapport De Vulnérabilité

Selon TrendAI Research Team (extrait d’un rapport TrendAI Research Services), une vulnérabilité CVE-2026-20841 affectant le Bloc‑notes Windows a été analysée et corrigée par Microsoft en février 2026. Le bug, découvert initialement par Cristian Papa et Alasdair Gorniak (Delta Obscura), permet une exécution de code arbitraire suite à une validation insuffisante des liens Markdown traités par Notepad. • Produits/versions concernés : Windows Notepad (version moderne avec rendu Markdown et fonctionnalités Copilot). Le rendu Markdown est déclenché pour les fichiers avec extension .md, déterminé via une comparaison de chaîne fixe par l’appel interne sub_1400ED5D0(). Le clic sur les liens est géré par sub_140170F60(), qui filtre insuffisamment l’URI avant de l’envoyer à ShellExecuteExW(). Des URI malicieuses (ex. file://, ms-appinstaller://) peuvent ainsi mener à l’exécution de commandes/fichiers dans le contexte de l’utilisateur. Remarque : toute séquence « \ » est normalisée en « \ » avant l’appel. ...

Selon un billet technique publié par Olivier Laflamme (26 février 2026), deux vulnérabilités critiques de type RCE affectent les robots Unitree Go2, co‑découvertes avec Ruikai (Pwn0), avec un calendrier de divulgation coordonné avec le Security Response Center de Unitree. — CVE-2026-27509. Nature: RCE non authentifiée via DDS. Sur le firmware V1.1.7, l’abus du DataWriter DDS exposé sur les topics rt/api/programming_actuator/* permet l’exécution arbitraire de Python en root. Le système Eclipse CycloneDDS (v0.10.2) est utilisé sans DDS-Sec; tout hôte du réseau peut rejoindre le domaine 0 et publier des messages structurés (Request_…) vers les topics concernés. La surface inclut des topics API (ex. programming_actuator request/response) découverts via multicast DDS, puis échangés en unicast. ...

Selon Truffle Security (blog), Google a longtemps indiqué que les clés API Google (ex. Maps, Firebase) n’étaient pas des secrets et pouvaient être intégrées côté client ; depuis l’activation de l’API Gemini (Generative Language API) sur un projet, ces mêmes clés peuvent désormais authentifier vers des endpoints sensibles, sans alerte ni consentement explicite, transformant des identifiants de facturation en véritables crédentielles. Le problème central tient à l’usage d’un format de clé unique « AIza… » pour l’identification publique et l’authentification sensible, provoquant une élévation de privilèges rétroactive et des défauts de sécurité par défaut (clés « Unrestricted » valides pour tous les services activés, dont Gemini). Truffle Security qualifie cela d’« Insecure Default posture » (CWE-1188) et « Incorrect Privilege Assignment » (CWE-269), avec une absence de séparation des clés (publishes vs. secrètes). ...

Selon CyberSecurityNews.com (20 février 2026), l’équipe OX Security Research a identifié trois vulnérabilités critiques dans quatre extensions Visual Studio Code très répandues, confirmées aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de téléchargements, révélant un angle mort de la chaîne d’approvisionnement logicielle: la machine du développeur. • Extensions et vulnérabilités clés CVE-2025-65717 – Live Server (CVSS 9.1, 72M+ téléchargements) : exfiltration de fichiers à distance via la fonctionnalité localhost. Versions affectées: toutes. CVE-2025-65715 – Code Runner (CVSS 7.8, 37M+ téléchargements) : exécution de code à distance (RCE). Versions affectées: toutes. CVE-2025-65716 – Markdown Preview Enhanced (CVSS 8.8, 8.5M+ téléchargements) : exécution JavaScript menant à scan de ports locaux et exfiltration de données. Versions affectées: toutes. (Sans CVE) Microsoft Live Preview (11M+ téléchargements) : XSS en un clic permettant exfiltration complète des fichiers de l’IDE, corrigée discrètement en v0.4.16+ sans attribution publique à OX Security. • Contexte et impact Les extensions d’IDE opèrent avec des permissions proches de l’administrateur, pouvant exécuter du code, lire/modifier des fichiers et communiquer sur le réseau local sans alerter les contrôles classiques. Selon OX Security, une seule extension malveillante ou vulnérable peut suffire à permettre des mouvements latéraux et compromettre une organisation entière. ...

Selon LayerX (par Roy Paz), une vulnérabilité d’exécution de code à distance (RCE) sans clic affecte les extensions Claude Desktop (MCP), permettant à un événement Google Agenda malveillant de déclencher l’exécution de code local avec privilèges. L’impact concerne plus de 10 000 utilisateurs actifs et environ 50 extensions DXT, avec un score CVSS de 10/10. ⚠️ Nature du problème: Les extensions Claude Desktop (serveurs MCP) s’exécutent sans sandbox et avec des privilèges système complets. Claude peut chaîner automatiquement des connecteurs à faible risque (ex. Google Agenda) vers des exécutables locaux à haut risque, sans consentement utilisateur. Cette violation des limites de confiance permet de transférer des données issues d’une source bénigne vers un contexte d’exécution privilégié. ...

Selon JFrog Security Research (research.jfrog.com), une nouvelle vulnérabilité OpenSSL, CVE-2025-15467, a été dévoilée: un débordement de pile susceptible d’entraîner une exécution de code à distance (RCE). Bien qu’aucun score CVSS officiel ne soit encore publié, OpenSSL la classe élevée, et JFrog estime qu’elle pourrait être évaluée critique par le NVD. ⚠️ La faille survient lors du traitement de CMS AuthEnvelopedData utilisant des chiffrements AEAD (ex. AES-GCM): l’IV extrait des paramètres ASN.1 peut être surdimensionné. OpenSSL le copie alors dans un tampon de pile de taille fixe sans vérifier la longueur (au-delà de EVP_MAX_IV_LENGTH), provoquant un débordement avant toute authentification. Un attaquant n’a donc pas besoin de clés valides: un message CMS spécialement conçu avec un IV trop grand suffit à causer un crash ou potentiellement une RCE. ...

Selon SecurityAffairs, des chercheurs de SEC Consult ont signalé à Dormakaba plus de 20 vulnérabilités dans l’écosystème de contrôle d’accès physique exos 9300, largement déployé en Europe, y compris chez des opérateurs en environnements à haute sécurité. Le fournisseur a confirmé que plusieurs milliers de clients étaient potentiellement touchés et affirme n’avoir connaissance d’aucune exploitation active à ce stade. Les systèmes concernés incluent le logiciel central exos 9300 (Windows Server, MSSQL) et les gestionnaires d’accès série 9200 (sous Windows CE ou Linux) qui exposent des services réseau (interfaces web et API SOAP) pour piloter les serrures. Ces équipements stockent localement des données sensibles comme des identifiants, PIN et configurations. ...

Source: appomni.com — Aaron Costello (AppOmni) publie une analyse technique détaillée de « BodySnatcher » (CVE-2025-12420), une vulnérabilité critique touchant ServiceNow Virtual Agent API et l’application Now Assist AI Agents, permettant à un attaquant non authentifié d’usurper n’importe quel utilisateur à partir de son e‑mail, de contourner MFA/SSO et de piloter des workflows d’agents IA avec des privilèges élevés. • Nature de la faille et impact: La combinaison d’un secret partagé au niveau plateforme et d’une logique d’auto‑liaison de comptes basée uniquement sur l’adresse e‑mail a permis à un attaquant distant d’usurper l’identité de n’importe quel utilisateur (y compris administrateur) et d’exécuter des agents IA pour créer des comptes backdoor et accorder des rôles administrateurs, exposant potentiellement des données sensibles (SSN, santé, finances, PI). L’auteur qualifie cette faille de plus sévère vulnérabilité IA agentique découverte à ce jour. ...

Contexte: Billet de blog d’un chercheur en sécurité détaillant plusieurs failles majeures dans l’écosystème Petlibro (distributeurs, fontaines et caméras connectés), utilisés par des millions de propriétaires d’animaux. 🚨 Principales vulnérabilités: Bypass d’authentification (prise de compte complète) via l’endpoint social login qui ne vérifiait pas les tokens OAuth et acceptait un identifiant Google côté client. Absence de contrôle d’accès sur l’endpoint de détail des animaux permettant de consulter les informations de n’importe quel animal via son identifiant. Exposition d’informations d’appareils (numéro de série, adresse MAC, nom du produit) récupérables à partir d’un ID d’animal lié. Prise de contrôle d’appareils: les API d’appareils acceptaient n’importe quel numéro de série sans vérification de propriété (programmation des repas, déclenchement manuel, accès caméra, réglages, etc.). Accès à des enregistrements audio privés en raison d’identifiants séquentiels et d’une API permettant d’associer n’importe quel audio à n’importe quel appareil, puis de récupérer l’URL. Ajout non autorisé de co-propriétaires: contrôle en place seulement pour la suppression, pas pour l’ajout. 🎯 Impacts mentionnés: ...

Source: Fortinet (PSIRT Blog). Fortinet indique avoir observé dans la nature l’abus de la vulnérabilité FG‑IR‑19‑283 / CVE‑2020‑12812 publiée en juillet 2020, liée à un contournement du 2FA sur FortiGate dans des configurations précises. Le problème survient lorsque FortiGate traite les noms d’utilisateurs comme sensibles à la casse par défaut, alors que le répertoire LDAP ne l’est pas. Dans un contexte où des comptes locaux FortiGate avec 2FA sont mappés à LDAP, que ces mêmes utilisateurs appartiennent à des groupes LDAP, et qu’au moins un de ces groupes est configuré dans une politique d’authentification FortiGate, une connexion avec une variante de casse du nom (ex: « JSmith » au lieu de « jsmith ») ne correspond pas au compte local et déclenche une tentative d’authentification via les autres politiques. ...