Vulnérabilité

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2024-51978 Produit : Brother Industries, Ltd HL-L8260CDN Score CVSS : 9.8 (CRITICAL) Poids social : 656.0 (posts: 5, utilisateurs: 5) Description : “Un attaquant non authentifié qui connaît le numéro de série de l’appareil cible peut générer le mot de passe administrateur par défaut de l’appareil. Un attaquant non authentifié peut d’abord découvrir le numéro de série de l’appareil cible via la vulnérabilité CVE-2024-51977 sur HTTP/HTTPS/IPP, ou via une requête PJL, ou via une requête SNMP.” Date de publication : 2025-06-25T07:17:32Z Posts Fediverse (5 trouvés) 🗨️ Jeff Hall - PCIGuru :verified: (infosec.exchange) – 2025-06-26T12:43:55.162000Z @Jeff Hall - PCIGuru :verified: sur infosec.exchange 🕒 2025-06-26T12:43:55.162000Z Although seven of the eight flaws can be patched, the aforementioned vulnerability, CVE-2024-51978, cannot. https://www.darkreading.com/endpoint-security/millions-brother-printers-critical-unpatchable-bug ...

Selon un article publié par Gbhackers, une vulnérabilité critique (CVE-2025-6709) a été découverte dans MongoDB Server, permettant à des attaquants non authentifiés de provoquer des conditions de déni de service (DoS) en exploitant une validation incorrecte des entrées dans le mécanisme d’authentification OIDC. Cette faille permet aux acteurs malveillants de faire planter les serveurs de bases de données en envoyant des charges utiles JSON spécialement conçues contenant des valeurs de date spécifiques, entraînant des échecs invariants et des plantages de serveurs. Les versions affectées incluent MongoDB Server avant 7.0.17, 8.0.5, et 6.0.21 (avec authentification requise pour l’exploitation de la version 6.x). ...

Selon un article de GBHackers Security, une vulnérabilité récemment dévoilée dans l’utilitaire de compression de fichiers WinRAR met en danger des millions d’utilisateurs en les exposant à des attaques par exécution de code à distance (RCE). La faille, identifiée sous le code CVE-2025-6218 et notée 7.8 sur l’échelle CVSS, est classée comme haute en termes de gravité. Elle permet à des attaquants de faire exécuter du code arbitraire simplement en convainquant une victime d’ouvrir une archive malveillante. ...

L’bulletin de sécurité de Citrix informe d’une vulnérabilité critique identifiée dans les produits NetScaler ADC et NetScaler Gateway. Cette vulnérabilité, référencée sous le CVE-2025-6543, est une faille de dépassement de mémoire qui peut conduire à un déni de service et à des flux de contrôle non désirés. Les versions affectées incluent NetScaler ADC et Gateway 14.1 avant la version 14.1-47.46, et 13.1 avant la version 13.1-59.19. Les versions spécifiques 13.1-FIPS et NDcPP sont également concernées avant les versions 13.1-37.236-FIPS et NDcPP. Il est important de noter que NetScaler ADC 12.1-FIPS n’est pas affecté par cette vulnérabilité. ...

L’article de BleepingComputer rapporte une exploitation active d’une vulnérabilité critique dans le thème WordPress ‘Motors’. Cette faille permet une escalade de privilèges, permettant aux attaquants de s’emparer des comptes administrateurs et de prendre le contrôle total des sites affectés. La vulnérabilité est particulièrement préoccupante car elle touche un thème populaire utilisé par de nombreux sites WordPress. Les attaquants peuvent exploiter cette faille pour modifier le contenu du site, installer des logiciels malveillants ou voler des données sensibles. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2025-4748 Produit : Erlang OTP Score CVSS : 4.8 (MEDIUM) Poids social : 602.0 (posts: 4, utilisateurs: 4) Description : La vulnérabilité “Limitation incorrecte d’un chemin d’accès à un répertoire restreint (‘Path Traversal’)” dans Erlang OTP (modules stdlib) permet une Traversée de Chemin Absolu et une Manipulation de Fichiers. Cette vulnérabilité est associée aux fichiers de programme lib/stdlib/src/zip.erl et aux routines de programme zip:unzip/1, zip:unzip/2, zip:extract/1, zip:extract/2, à moins que l’option de mémoire ne soit passée. Ce problème affecte OTP de OTP 17.0 jusqu’à OTP 28.0.1, OTP 27.3.4.1 et OTP 26.2.5.13, correspondant à stdlib de 2.0 jusqu’à 7.0.1, 6.2.2.1 et 5.2.3.4. ...

Selon ce bulletin de vulnérabilité de Citrix, des vulnérabilités critiques ont été découvertes dans les produits NetScaler ADC et NetScaler Gateway. Ces vulnérabilités affectent plusieurs versions de ces produits, notamment les versions antérieures à 14.1-43.56 pour NetScaler ADC et Gateway, ainsi que d’autres versions spécifiques. Deux vulnérabilités principales ont été identifiées : CVE-2025-5349, qui concerne un contrôle d’accès inapproprié sur l’interface de gestion de NetScaler, et CVE-2025-5777, qui implique une validation insuffisante des entrées menant à une lecture hors limites de la mémoire. Ces failles présentent des scores CVSS de 8.7 et 9.3 respectivement, indiquant leur sévérité élevée. ...

Selon un article publié par Bleeping Computer, plus de 46 000 instances de Grafana accessibles via Internet restent non corrigées et exposées à une vulnérabilité de redirection ouverte côté client (CVE-2025-4123). 🧟 Le fantôme de Grafana : plus de 46 000 instances exposées à une faille critique Une faille critique affectant Grafana (CVE-2025-4123) expose encore plus de 46 000 instances accessibles sur Internet à des attaques de type détournement de compte. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2025-4275 Produit : Insyde Software InsydeH2O Score CVSS : 7.8 (HIGH) Poids social : 466.5 (posts: 5, utilisateurs: 4) Description : “L’exécution de l’utilitaire fourni modifie le certificat sur n’importe quel BIOS Insyde, puis le fichier .efi joint peut être lancé.” Date de publication : 2025-06-11T00:25:18Z Posts Fediverse (5 trouvés) 🗨️ Nikolaj Schlej (mastodon.social) – 2025-06-10T14:00:31Z @Nikolaj Schlej sur mastodon.social 🕒 2025-06-10T14:00:31Z How to check if your FW is vulnerable to Hydroph0bia (CVE-2025-4275): obtain a BIOS dump or a BIOS update for your PC, open it in UEFITool NE, open Search window on Text tab (Ctrl+F), search for Unicode text 'SecureFlashCertData'. If nothing had been found, our FW is fine. Otherw… ...

Selon un article de BleepingComputer, une vulnérabilité a été découverte dans le système de récupération des comptes Google. Cette faille permettait à des chercheurs de réaliser des attaques par force brute sur le numéro de téléphone de récupération d’un compte Google, simplement en connaissant le nom de profil et un numéro de téléphone partiel. Cette vulnérabilité posait un risque majeur pour les utilisateurs, les exposant à des attaques de phishing et de SIM-swapping. Ces types d’attaques peuvent conduire à des compromissions de comptes, des vols d’identité, et des pertes financières. ...