Vulnérabilité

Selon un article de GBHackers Security, une vulnérabilité récemment dévoilée dans l’utilitaire de compression de fichiers WinRAR met en danger des millions d’utilisateurs en les exposant à des attaques par exécution de code à distance (RCE). La faille, identifiée sous le code CVE-2025-6218 et notée 7.8 sur l’échelle CVSS, est classée comme haute en termes de gravité. Elle permet à des attaquants de faire exécuter du code arbitraire simplement en convainquant une victime d’ouvrir une archive malveillante. ...

L’article de BleepingComputer rapporte une exploitation active d’une vulnérabilité critique dans le thème WordPress ‘Motors’. Cette faille permet une escalade de privilèges, permettant aux attaquants de s’emparer des comptes administrateurs et de prendre le contrôle total des sites affectés. La vulnérabilité est particulièrement préoccupante car elle touche un thème populaire utilisé par de nombreux sites WordPress. Les attaquants peuvent exploiter cette faille pour modifier le contenu du site, installer des logiciels malveillants ou voler des données sensibles. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2025-4748 Produit : Erlang OTP Score CVSS : 4.8 (MEDIUM) Poids social : 602.0 (posts: 4, utilisateurs: 4) Description : La vulnérabilité “Limitation incorrecte d’un chemin d’accès à un répertoire restreint (‘Path Traversal’)” dans Erlang OTP (modules stdlib) permet une Traversée de Chemin Absolu et une Manipulation de Fichiers. Cette vulnérabilité est associée aux fichiers de programme lib/stdlib/src/zip.erl et aux routines de programme zip:unzip/1, zip:unzip/2, zip:extract/1, zip:extract/2, à moins que l’option de mémoire ne soit passée. Ce problème affecte OTP de OTP 17.0 jusqu’à OTP 28.0.1, OTP 27.3.4.1 et OTP 26.2.5.13, correspondant à stdlib de 2.0 jusqu’à 7.0.1, 6.2.2.1 et 5.2.3.4. ...

Selon ce bulletin de vulnérabilité de Citrix, des vulnérabilités critiques ont été découvertes dans les produits NetScaler ADC et NetScaler Gateway. Ces vulnérabilités affectent plusieurs versions de ces produits, notamment les versions antérieures à 14.1-43.56 pour NetScaler ADC et Gateway, ainsi que d’autres versions spécifiques. Deux vulnérabilités principales ont été identifiées : CVE-2025-5349, qui concerne un contrôle d’accès inapproprié sur l’interface de gestion de NetScaler, et CVE-2025-5777, qui implique une validation insuffisante des entrées menant à une lecture hors limites de la mémoire. Ces failles présentent des scores CVSS de 8.7 et 9.3 respectivement, indiquant leur sévérité élevée. ...

Selon un article publié par Bleeping Computer, plus de 46 000 instances de Grafana accessibles via Internet restent non corrigées et exposées à une vulnérabilité de redirection ouverte côté client (CVE-2025-4123). 🧟 Le fantôme de Grafana : plus de 46 000 instances exposées à une faille critique Une faille critique affectant Grafana (CVE-2025-4123) expose encore plus de 46 000 instances accessibles sur Internet à des attaques de type détournement de compte. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2025-4275 Produit : Insyde Software InsydeH2O Score CVSS : 7.8 (HIGH) Poids social : 466.5 (posts: 5, utilisateurs: 4) Description : “L’exécution de l’utilitaire fourni modifie le certificat sur n’importe quel BIOS Insyde, puis le fichier .efi joint peut être lancé.” Date de publication : 2025-06-11T00:25:18Z Posts Fediverse (5 trouvés) 🗨️ Nikolaj Schlej (mastodon.social) – 2025-06-10T14:00:31Z @Nikolaj Schlej sur mastodon.social 🕒 2025-06-10T14:00:31Z How to check if your FW is vulnerable to Hydroph0bia (CVE-2025-4275): obtain a BIOS dump or a BIOS update for your PC, open it in UEFITool NE, open Search window on Text tab (Ctrl+F), search for Unicode text 'SecureFlashCertData'. If nothing had been found, our FW is fine. Otherw… ...

Selon un article de BleepingComputer, une vulnérabilité a été découverte dans le système de récupération des comptes Google. Cette faille permettait à des chercheurs de réaliser des attaques par force brute sur le numéro de téléphone de récupération d’un compte Google, simplement en connaissant le nom de profil et un numéro de téléphone partiel. Cette vulnérabilité posait un risque majeur pour les utilisateurs, les exposant à des attaques de phishing et de SIM-swapping. Ces types d’attaques peuvent conduire à des compromissions de comptes, des vols d’identité, et des pertes financières. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2024-3721 Produit : TBK DVR-4104 Score CVSS : 6.3 (MEDIUM) Poids social : 300.0 (posts: 4, utilisateurs: 3) Description : “Une vulnérabilité a été détectée dans les modèles TBK DVR-4104 et DVR-4216 jusqu’à la version 20240412 et a été classée comme critique. Ce problème affecte un processus inconnu du fichier /device.rsp?opt=sys&cmd=S_O_S_T_R_E_A_MAX. La manipulation de l’argument mdb/mdc conduit à une injection de commande d’exploitation système. L’attaque peut être lancée à distance. L’exploit a été rendu public et peut être utilisé. L’identifiant VDB-260573 a été attribué à cette vulnérabilité.” Date de publication : 2024-04-13T12:00:05Z Posts Fediverse (4 trouvés) 🗨️ Cybersecurity & cyberwarfare (poliverso.org) – 2025-06-06T10:00:38Z @Cybersecurity & cyberwarfare sur poliverso.org 🕒 2025-06-06T10:00:38Z Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721The abuse of known security flaws to deploy bots on vulnerable systems is a widely recognized problem. Many automated bots constantly search the web for known vulnerabilities in servers and devices con… ...

Selon un article publié sur Bleeping Computer, une vulnérabilité critique identifiée comme CVE-2025-49113 dans l’application webmail open-source Roundcube est activement exploitée par des hackers. Cette faille permet une exécution de code à distance post-authentification et affecte les versions de Roundcube de la 1.1.0 à la 1.6.10. La vulnérabilité a été présente dans le logiciel pendant plus de dix ans avant d’être corrigée le 1er juin. Cependant, les attaquants ont rapidement réussi à ingénier à rebours le correctif, à armer la vulnérabilité et à commencer à vendre un exploit fonctionnel sur des forums de hackers. ...

Période analysée : les 30 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2022-38392 Produit : Score CVSS : 5.3 (MEDIUM) Poids social : 1043.0 (posts: 2, utilisateurs: 2) Description : Certains disques durs de 5400 tours par minute, pour ordinateurs portables et autres PC à partir de 2005 environ, permettent à des attaquants physiquement proches de provoquer un déni de service (dysfonctionnement de l’appareil et crash du système) via une attaque par fréquence de résonance avec le signal audio de la vidéo musicale Rhythm Nation. Un produit signalé est le Seagate STDT4000100 763649053447. Date de publication : 2022-08-17T00:00:00Z Posts Fediverse (2 trouvés) 🗨️ Forgi :neofox_woozy: (forgi.social) – 2025-05-05T20:56:12Z @Forgi :neofox_woozy: sur forgi.social 🕒 2025-05-05T20:56:12Z I remember reading about this some time back…https://nvd.nist.gov/vuln/detail/CVE-2022-38392Sudden urge to play Rhythm Nation next to some of my old laptops to see what happens. :neofox_evil_3c: ...