Rapport De Vulnérabilité

Source: manchicken (GitHub) — Le chercheur publie une divulgation responsable d’une vulnérabilité signalée à 1Password en octobre 2023 et autorisée à la publication via BugCrowd en janvier 2024, portant sur le comportement de 1Password CLI (op). • Nature de la vulnérabilité: une fois le coffre déverrouillé via 1Password CLI, la session reste active et est héritée par les processus enfants, sans nouvelle invite. Ce comportement permet à des composants de la chaîne d’outillage (ex. extensions ou scripts post‑installation) d’accéder aux secrets sans interaction supplémentaire. Le chercheur montre que les mots de passe sont récupérables en clair et que l’outil peut énumérer les coffres et les éléments. ...

Selon watchTowr Labs, une vulnérabilité critique CVE-2025-36604 affecte Dell UnityVSA jusqu’à la version 5.5.0.0.5.259, permettant une injection de commandes avant authentification; Dell a publié un correctif en 5.5.1. ⚠️ Impact et portée: Des attaquants non authentifiés peuvent exécuter des commandes arbitraires sur des appliances de stockage vulnérables, avec un risque d’accès à des données sensibles. Détails techniques: La faille réside dans la fonction getCASURL du module Perl AccessTool.pm lorsque le paramètre $type=‘login’. La variable $uri, issue directement de $r->uri() (requête HTTP), est concaténée sans sanitisation dans une chaîne ($exec_cmd) puis exécutée via des backticks Perl. Le chemin vulnérable est déclenché par la configuration Apache (PerlModule) qui enregistre AccessHandler::handler pour chaque requête. Une requête non authentifiée vers une ressource valide (sans les cookies attendus) appelle successivement make_return_address(), getCASLoginURL(), puis getCASURL(type=‘login’), menant à l’exécution de la commande injectée. La vulnérabilité a échappé à la détection car elle ne se manifeste que lorsque l’URI pointe vers une ressource nécessitant la résolution du handler. Alors que d’autres entrées étaient correctement échappées (quotes simples), $uri dans le flux « login » ne l’était pas. ...

Selon une publication technique de ProjectBlack, des chercheurs ont mis au jour une vulnérabilité critique de type Local File Inclusion (LFI) non authentifiée affectant la plateforme de suivi GPS Traccar sur Windows, permettant la lecture de fichiers arbitraires et l’exposition d’identifiants sensibles. La faille provient du composant DefaultOverrideServlet de Traccar, où la méthode getResource() passe le paramètre contrôlé par l’utilisateur à Jetty Resource.addPath() sans validation suffisante des séquences d’échappement spécifiques à Windows. Bien que Jetty URIUtil.canonicalPath() bloque les traversées de chemin avec des slashs, il ne neutralise pas correctement les backslashes sous Windows, ouvrant la voie à une LFI non authentifiée. ...

Source: Unit 42 (Palo Alto Networks). Les chercheurs décrivent trois vulnérabilités critiques dans le firmware du routeur TOTOLINK X6000R (V9.4.0cu.1360B20241207) permettant à des attaquants non authentifiés d’exécuter des commandes (jusqu’aux privilèges root), d’intercepter le trafic et de manipuler des fichiers système critiques. TOTOLINK a publié un correctif dans le firmware V9.4.0cu.1498B20250826. Les failles résident dans l’endpoint central du panneau web, /cgi-bin/cstecgi.cgi. • CVE-2025-52905: injection d’arguments due à une liste de blocage incomplète qui ne filtre pas le caractère tiret (-). • CVE-2025-52906: injection de commandes non authentifiée dans la fonction setEasyMeshAgentCfg via le paramètre agentName, permettant l’exécution de commandes avec les privilèges du serveur web. • CVE-2025-52907: contournement de sécurité affectant plusieurs composants, dont setWizardCfg, autorisant des écritures arbitraires de fichiers en contournant les contrôles de validation. ...

Source: blog.nviso.eu (NVISO, Maxime Thiebaut) — NVISO détaille l’exploitation zero‑day de CVE-2025-41244, une élévation de privilèges locale affectant la découverte de services de VMware Tools et VMware Aria Operations, observée in‑the‑wild depuis mi‑octobre 2024 et officiellement divulguée par Broadcom le 29 septembre 2025. • Vulnérabilité et impact La faille (CWE‑426: Untrusted Search Path) provient de la logique du script get-versions.sh (open‑vm‑tools) utilisant des regex trop larges (classe \S) qui peuvent faire correspondre et exécuter des binaires non système (ex. /tmp/httpd) en contexte privilégié. Impact: exécution de code avec des privilèges élevés (root) par un utilisateur local non privilégié, dans les deux modes de découverte: credential-based (logique côté Aria Operations) et credential-less (logique dans VMware Tools). • Produits et composants concernés ...

Selon la Zero Day Initiative (Trend Micro), une vulnérabilité critique CVE-2025-23298 affecte la bibliothèque NVIDIA Transformers4Rec et permet une exécution de code à distance avec privilèges root lors du chargement de checkpoints de modèles, un correctif ayant été publié par NVIDIA. La faille provient de la fonction load_model_trainer_states_from_checkpoint qui utilise torch.load() sans paramètres de sûreté. Ce chargement désérialise directement des données pickle, ce qui autorise des fichiers de checkpoint malveillants à exécuter du code arbitraire via la méthode reduce de pickle pendant la désérialisation. L’exploit démontré intègre des commandes os.system dans des objets state_dict du modèle. ...

Selon Arctic Wolf, CVE-2025-10035 est une vulnérabilité critique de désérialisation affectant Fortra GoAnywhere Managed File Transfer (MFT), avec un risque d’injection de commandes à distance. Aucune exploitation active n’a été observée, mais le produit a déjà été une cible de choix pour des acteurs comme le ransomware Cl0p. ⚙️ Détails techniques: La faille réside dans le License Servlet et permet à un acteur distant, muni de signatures de réponse de licence falsifiées mais valides, de désérialiser des objets arbitraires et d’aboutir à une injection de commandes. ...

Dans un billet de blog publié le 17 septembre 2025, le chercheur Dirk-jan Mollema détaille la vulnérabilité la plus impactante qu’il dit avoir trouvée dans Entra ID : un défaut de validation dans l’API Azure AD Graph combiné à des « Actor tokens » internes permettait d’usurper n’importe quel utilisateur — y compris des Global Admins — dans tout tenant, aboutissant à une compromission totale. Microsoft a corrigé rapidement et attribué l’identifiant CVE-2025-55241. ...

Source: Medium — Le chercheur Mehrun publie une analyse détaillée d’une zero-day signalée à TP-Link le 11 mai 2024 et toujours non corrigée au moment de la publication, affectant l’implémentation CWMP/TR-069 de plusieurs routeurs, dont les Archer AX10 et AX1500. ⚠️ Vulnérabilité et cause racine: L’étude décrit un dépassement de pile (stack-based buffer overflow) dans une fonction du composant CWMP qui traite les messages SOAP SetParameterValues. Une taille dérivée des données d’entrée est utilisée directement dans une copie mémoire sans contrôle strict des limites vers un tampon de pile, ouvrant la voie à une exécution de code à distance (RCE). ...

Source: Brave.com blog (20 août 2025). Brave présente une recherche montrant qu’une vulnérabilité dans l’agent de navigation Comet de Perplexity permet des attaques d’injection indirecte de prompts, contournant les hypothèses classiques de sécurité Web et entraînant des risques majeurs en sessions authentifiées. Brave explique que Comet, lorsqu’on lui demande de résumer une page, transmet une partie du contenu de la page directement au LLM sans distinguer les instructions de l’utilisateur du contenu non fiable de la page. Cette conception ouvre la voie à une injection indirecte de prompts où des instructions malveillantes, dissimulées dans une page Web ou un commentaire social, sont traitées comme des commandes par l’agent. ...