Rapport De Vulnérabilité

🔍 Contexte Source : CrowdSec VulnTracking Report, publié le 20 avril 2026. Le réseau CrowdSec suit l’exploitation active de CVE-2026-21445, une vulnérabilité critique affectant Langflow, un outil open-source populaire (147 000 étoiles GitHub) pour la création et le déploiement d’agents IA et d’automatisation de workflows. 🐛 Vulnérabilité CVE-2026-21445 est un bypass d’authentification affectant plusieurs endpoints critiques de l’API Langflow. Des endpoints de monitoring étaient accessibles sans authentification, exposant : L’historique des conversations utilisateurs L’historique des transactions Les données de sessions de messages (supprimables sans autorisation) Les versions antérieures à 1.7.0.dev45 sont affectées. La version corrigée est 1.7.1. ...

🔍 Contexte Publié le 22 avril 2026 par l’équipe Red Team de Deutsche Telekom sur leur blog sécurité GitHub, cet article divulgue de manière coordonnée une vulnérabilité haute sévérité baptisée Pack2TheRoot, référencée CVE-2026-41651 (CVSS 3.1 : 8.8). 🎯 Nature de la vulnérabilité La vulnérabilité réside dans le démon PackageKit, une couche d’abstraction de gestion de paquets multi-distributions. Elle permet à un attaquant local non privilégié d’installer ou supprimer des paquets système sans autorisation, conduisant à une élévation de privilèges complète (root). ...

🔍 Contexte Publié le 20 avril 2026 sur le blog de Doyensec par Adrian Denkiewicz, cet article détaille une campagne de fuzzing menée contre CFITSIO, la bibliothèque C de référence pour le traitement du format astronomique FITS, maintenue par la NASA/HEASARC. La recherche a été conduite en deux rounds distincts, le second ciblant spécifiquement la surface d’attaque Extended Filename Syntax (EFS). 🛠️ Méthodologie Le chercheur a utilisé AFL++ comme fuzzer principal, combiné à GPT-5-Codex pour : ...

📰 Contexte Source : BleepingComputer, publié le 18 avril 2026. La société de sécurité applicative Endor Labs a publié un rapport détaillant une vulnérabilité critique d’exécution de code à distance (RCE) dans protobuf.js, l’implémentation JavaScript des Protocol Buffers de Google. La bibliothèque est téléchargée environ 50 millions de fois par semaine sur npm. 🔍 Détails techniques La vulnérabilité est identifiée sous GHSA-xq3m-2v4x-88gg (aucun CVE officiel attribué à ce jour). Elle est causée par une génération dynamique de code non sécurisée : ...

🔍 Contexte Publié le 7 avril 2026 par Horizon3.ai, cet article présente la divulgation complète de CVE-2026-34197, une vulnérabilité d’exécution de code à distance (RCE) dans Apache ActiveMQ Classic, présente depuis 13 ans et corrigée dans les versions 5.19.4 et 6.2.3. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un enchaînement de mécanismes légitimes d’ActiveMQ : Jolokia (pont HTTP-to-JMX) expose une API REST permettant d’invoquer des opérations sur les MBeans ActiveMQ L’opération addNetworkConnector(String) sur le broker MBean accepte un URI de découverte Le transport vm:// crée un broker à la volée si le nom référencé n’existe pas, en acceptant un paramètre brokerConfig pointant vers une URL distante Le schéma xbean: délègue le chargement à Spring’s ResourceXmlApplicationContext, instanciant tous les beans définis — permettant l’exécution de commandes via MethodInvokingFactoryBean et Runtime.getRuntime().exec() ⚠️ Conditions d’exploitation Authentifiée par défaut (credentials admin:admin très répandus) Non authentifiée sur les versions 6.0.0 à 6.1.1 en raison de CVE-2024-32114, qui supprime les contraintes de sécurité sur le chemin /api/*, rendant Jolokia totalement accessible sans credentials 🔗 Lien avec des vulnérabilités antérieures CVE-2022-41678 : RCE authentifiée via Jolokia et JDK MBeans (FlightRecorder) — le correctif avait introduit un allow global sur tous les MBeans ActiveMQ, créant la surface exploitée ici CVE-2023-46604 : RCE non authentifiée via chargement de Spring XML distant (même type de sink) CVE-2016-3088 : RCE authentifiée via la console web (sur la KEV CISA) 🎯 Secteurs impactés ActiveMQ est largement déployé dans les secteurs : services financiers, santé, gouvernement, e-commerce. ...

🌐 Contexte Source : Check Point Research, publié le 16 avril 2026. Ce rapport mensuel dresse un bilan statistique du paysage des cybermenaces en mars 2026, couvrant les volumes d’attaques globaux, les tendances ransomware, les risques liés à l’IA générative, ainsi que les disparités sectorielles et régionales. 📊 Volumes d’attaques globaux En mars 2026, la moyenne hebdomadaire d’attaques par organisation s’établit à 1 995, soit une baisse de 4 % par rapport à février et de 5 % par rapport à mars 2025. Malgré cette modération, les niveaux restent historiquement élevés, portés par l’automatisation, l’expansion des surfaces d’attaque et l’adoption du cloud et de la GenAI. ...

🔍 Contexte Publié le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dépôt RedSun expose une vulnérabilité affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un comportement inattendu de Windows Defender lors de la détection d’un fichier malveillant portant un cloud tag : Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier à son emplacement d’origine. Le PoC abuse de ce comportement pour écraser des fichiers système arbitraires. L’exploitation permet d’obtenir des privilèges administrateurs (élévation de privilèges). 💻 Détails techniques Langage : C++ (100%) Fichier principal : RedSun.cpp Le dépôt contient une release initiale publiée la veille de l’article. 664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire. 📌 Type d’article Il s’agit d’une publication de PoC (Proof of Concept) accompagnée d’une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale. ...

🔍 Contexte Une issue a été ouverte le 8 avril 2026 sur le dépôt GitHub LOLDrivers (magicsword-io) par le chercheur @weezerOSINT, signalant la soumission d’un driver vulnérable : ASTRA64.sys, produit par EnTech Taiwan / Sysinfo Lab. 🛠️ Description technique du driver Nom de fichier : ASTRA64.sys Architecture : x64 (variante 32-bit également existante) Signé : Oui, par EnTech Taiwan (certificat GlobalSign 2006) SHA256 : 4a8b6b462c4271af4a32cf8705fa64913bfcdaefb6cf02d1e722c611d428cb16 Device exposé : \Device\Astra32Device{n} Chargement : Fonctionne sur tout système Windows x64 sans restriction ⚠️ Vulnérabilités identifiées Le driver expose 31 IOCTLs à l’espace utilisateur sans aucune validation de paramètres et sans restriction DACL (IoCreateDevice simple) : ...

🔍 Contexte Publié le 7 avril 2026 par Vladimir Tokarev (Cyera Research Labs), cet article présente la découverte et l’analyse technique de CVE-2026-34040 (CVSS 8.8 High), une vulnérabilité d’autorisation dans Docker Engine affectant les versions antérieures à 29.3.1. 🐛 Description de la vulnérabilité La vulnérabilité réside dans le middleware AuthZ de Docker Engine. Lorsqu’un corps de requête HTTP dépasse 1 Mo (maxBodySize = 1 048 576 octets), le middleware abandonne silencieusement le corps avant de le transmettre au plugin d’autorisation. Le daemon Docker, lui, traite la requête complète normalement. ...

🔍 Contexte Publié le 3 avril 2026 sur le blog de BZHunt (https://www.bzhunt.fr/blog/cve_glpi/), cet article présente l’anatomie complète d’une chaîne d’exploitation 0-day découverte en février 2026 dans GLPI, l’outil ITSM open source largement déployé en Europe pour la gestion de parcs informatiques, tickets et inventaires d’actifs. 🐛 Vulnérabilités identifiées Trois CVE ont été assignés, dont deux forment la chaîne critique : CVE-2026-26027 (CVSS 7.5 – High) : Blind Stored XSS non authentifiée via l’endpoint /Inventory. Les champs deviceid, tag et useragent sont stockés sans assainissement HTML dans Agent::handleAgent() et rendus via le filtre Twig |raw, désactivant l’auto-échappement. Périmètre : GLPI 10.0.0–11.0.5. CVE-2026-26026 (CVSS 9.1 – Critical) : SSTI → RCE via double compilation Twig dans QuestionTypeDropdown.php. Le template Twig est reconstruit en concaténant du HTML déjà rendu avec un template non rendu, puis resoumis à renderFromStringTemplate(). La fonction call() (alias de call_user_func_array()) exposée par PhpExtension et les superglobales $_GET/$_POST accessibles comme variables Twig permettent l’exécution de commandes OS. Périmètre : GLPI 11.0.0–11.0.5. CVE-2026-26263 (CVSS 8.1 – High) : SQL Injection non authentifiée dans le moteur de recherche. Indépendante de la chaîne, fera l’objet d’un article séparé. ⛓️ Chaîne d’exploitation complète Injection XSS : envoi d’une requête POST non authentifiée vers /Inventory avec un payload JavaScript dans le champ tag Account Takeover : lorsqu’un administrateur consulte Administration → Agents, le payload s’exécute dans sa session, contourne la protection CSRF en récupérant dynamiquement le token, et crée silencieusement un compte super-administrateur SSTI → RCE : avec le compte créé, l’attaquant injecte {{ call(_get.fn, [_get.a]) }} dans une valeur d’option dropdown, puis déclenche l’exécution via /ajax/common.tabs.php?fn=shell_exec&a=id 💥 Impact Exécution de commandes OS arbitraires sous l’identité du serveur web (www-data) Exfiltration de credentials BDD, fichiers de configuration, données utilisateurs Pivot réseau depuis le serveur GLPI compromis Persistance (web shells, tâches cron, clés SSH, comptes backdoor) Risque supply chain sur l’ensemble du parc IT managé 🛠️ Fichiers clés affectés src/Glpi/Inventory/Conf.php (l.1309) : auth_required = 'none' par défaut src/Agent.php (l.420–434) : stockage sans sanitisation templates/components/form/fields_macros.html.twig (l.787) : filtre |raw src/Glpi/Form/QuestionType/QuestionTypeDropdown.php (l.205) : double compilation src/Glpi/Application/View/Extension/PhpExtension.php (l.90–106) : call() = call_user_func_array() src/Glpi/Application/View/TemplateRenderer.php (l.127–129) : exposition des superglobales 📅 Timeline de divulgation Février 2026 : découverte et signalement à l’équipe GLPI 3 mars 2026 : publication du patch (GLPI 11.0.6) Mars/Avril 2026 : publication de l’article 📄 Nature de l’article Il s’agit d’une analyse technique approfondie (vulnerability research / full disclosure) publiée par BZHunt après patch, incluant des preuves de concept, des extraits de code source, des payloads d’exploitation et une preuve de RCE confirmée sur GLPI 11.0.5. ...