🪲 Semaine 1 — CVE les plus discutées

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2025-12-28 → 2026-01-04. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2025-14847 CVSS: 7.5 EPSS: 65.77% VLAI: High (confidence: 0.9146) CISA: KEV ProduitMongoDB Inc. — MongoDB Server Publié2025-12-19T11:00:22.465Z Mismatched length fields in Zlib compressed protocol headers may allow a read of uninitialized heap memory by an unauthenticated client. This issue affects all MongoDB Server v7.0 prior to 7.0.28 versions, MongoDB Server v8.0 versions prior to 8.0.17, MongoDB Server v8.2 versions prior to 8.2.3, MongoDB Server v6.0 versions prior to 6.0.27, MongoDB Server v5.0 versions prior to 5.0.32, MongoDB Server v4.4 versions prior to 4.4.30, MongoDB Server v4.2 versions greater than or equal to 4.2.0, MongoDB Server v4.0 versions greater than or equal to 4.0.0, and MongoDB Server v3.6 versions greater than or equal to 3.6.0. ...

4 janvier 2026 · 21 min

🪲 Mois 2025-12 — CVE les plus discutées

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2025-12-01 → 2026-01-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2025-55182 CVSS: 10.0 VLAI: Critical (confidence: 0.9804) CISA: KEV ProduitMeta — react-server-dom-webpack; Meta — react-server-dom-turbopack; Meta — react-server-dom-parcel Publié2025-12-03T15:40:56.894Z 💬 La vulnérabilité **CVE-2025-55182** est une **exécution de code à distance (RCE)** exploitable **avant authentification** dans **React Server Components** versions **19.0.0, 19.1.0, 19.1.1 et 19.2.0**. Elle concerne notamment les paquets **react-server-dom-parcel**, **react-server-dom-turbopack** et **react-server-dom-webpack**. Le problème vient d’un traitement **non sécurisé de la désérialisation** : le code vulnérable **désérialise de manière dangereuse** des charges utiles (payloads) provenant de **requêtes HTTP** envoyées vers des **endpoints de “Server Function”**. Un attaquant distant peut ainsi fournir un payload spécialement conçu pour déclencher une **RCE**. Explications des termes ...

3 janvier 2026 · 52 min

🪲 Semaine 1 — CVE les plus discutées

Période analysée : les 7 derniers jours (Fediverse/Bluesky) (2025-12-22 → 2025-12-29). Données collectées via Vulnerability-Lookup (https://vulnerability.circl.lu) et enrichies avec EPSS (FIRST) / VLAI (CIRCL). 📌 Légende : CVSS — Score de sévérité officiel, EPSS — Probabilité d’exploitation (FIRST), VLAI — Estimation IA de sévérité (label + confiance si dispo), CISA KEV — Vulnérabilité connue comme exploitée (catalogue CISA), Sightings — Citations/observations (vu, PoC public, exploité, corrigé…). CVE-2025-14847 CVSS: 7.5 EPSS: 0.04% VLAI: High (confidence: 0.9800) CISA: KEV ProduitMongoDB Inc. MongoDB Server Publié2025-12-19 11:00:22 💬 Une vulnérabilité a été identifiée dans les en-têtes du protocole compressé Zlib, qui pourrait permettre à un client non authentifié de lire de la mémoire non initialisée sur le tas (heap). Cela signifie qu'un attaquant pourrait potentiellement accéder à des données sensibles qui n'ont pas été correctement sécurisées. Cette vulnérabilité concerne toutes les versions de MongoDB Server 7.0 antérieures à la version 7.0.28, ainsi que les versions 8.0 avant 8.0.17, 8.2 avant 8.2.3, 6.0 avant 6.0.27, 5.0 avant 5.0.32, 4.4 avant 4.4.30, et les versions 4.2, 4.0 et 3.6 à partir de leurs premières versions respectives (4.2.0, 4.0.0 et 3.6.0). ...

29 décembre 2025 · 39 min

Bypass d’authentification chez Petlibro: prise de contrôle de comptes et d’appareils IoT

Contexte: Billet de blog d’un chercheur en sécurité détaillant plusieurs failles majeures dans l’écosystème Petlibro (distributeurs, fontaines et caméras connectés), utilisés par des millions de propriétaires d’animaux. 🚨 Principales vulnérabilités: Bypass d’authentification (prise de compte complète) via l’endpoint social login qui ne vérifiait pas les tokens OAuth et acceptait un identifiant Google côté client. Absence de contrôle d’accès sur l’endpoint de détail des animaux permettant de consulter les informations de n’importe quel animal via son identifiant. Exposition d’informations d’appareils (numéro de série, adresse MAC, nom du produit) récupérables à partir d’un ID d’animal lié. Prise de contrôle d’appareils: les API d’appareils acceptaient n’importe quel numéro de série sans vérification de propriété (programmation des repas, déclenchement manuel, accès caméra, réglages, etc.). Accès à des enregistrements audio privés en raison d’identifiants séquentiels et d’une API permettant d’associer n’importe quel audio à n’importe quel appareil, puis de récupérer l’URL. Ajout non autorisé de co-propriétaires: contrôle en place seulement pour la suppression, pas pour l’ajout. 🎯 Impacts mentionnés: ...

29 décembre 2025 · 3 min

Fortinet signale l’exploitation active de CVE‑2020‑12812 (FG‑IR‑19‑283) permettant de contourner le 2FA via LDAP

Source: Fortinet (PSIRT Blog). Fortinet indique avoir observé dans la nature l’abus de la vulnérabilité FG‑IR‑19‑283 / CVE‑2020‑12812 publiée en juillet 2020, liée à un contournement du 2FA sur FortiGate dans des configurations précises. Le problème survient lorsque FortiGate traite les noms d’utilisateurs comme sensibles à la casse par défaut, alors que le répertoire LDAP ne l’est pas. Dans un contexte où des comptes locaux FortiGate avec 2FA sont mappés à LDAP, que ces mêmes utilisateurs appartiennent à des groupes LDAP, et qu’au moins un de ces groupes est configuré dans une politique d’authentification FortiGate, une connexion avec une variante de casse du nom (ex: « JSmith » au lieu de « jsmith ») ne correspond pas au compte local et déclenche une tentative d’authentification via les autres politiques. ...

26 décembre 2025 · 3 min

LangChain: vulnérabilité critique d'injection de sérialisation permet l’exfiltration de secrets (CVE-2025-68664)

Selon un avis GitHub Security Advisory (dépôt LangChain) publié le 23 déc. 2025, une vulnérabilité critique (GHSA-c67j-w6g6-q2cm, CVE-2025-68664, CVSS 9.3) affecte les API de sérialisation/désérialisation de LangChain. Le défaut d’échappement du champ interne ’lc’ dans dumps()/dumpd() permet à des données contrôlées par un attaquant d’être interprétées comme des objets LangChain lors de load()/loads(), ouvrant la voie à l’exfiltration de secrets et à l’instanciation de classes au sein d’espaces de noms « de confiance ». ⚠️ ...

26 décembre 2025 · 2 min

PCIe: trois vulnérabilités IDE/TDISP (CVE-2025-9612/9613/9614) brisent l’intégrité et l’isolation

Selon PCI-SIG (avis PCISIGVRT0001, publié le 9 décembre 2025) et un bulletin associé du CERT/CC, des vulnérabilités affectent le mécanisme Integrity and Data Encryption (IDE) introduit par un ECN dans PCIe Base Specification 5.0 et suivantes. Elles peuvent exposer, selon les implémentations, à de la divulgation d’informations, une élévation de privilèges ou un déni de service, notamment sur des systèmes mettant en œuvre IDE et le Trusted Domain Interface Security Protocol (TDISP). ...

26 décembre 2025 · 2 min

🐞 CVE les plus discutées dans la semaine 50

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-9242 [CVSS 9.3 🟥] [VLAI Critical 🟥] Produit : WatchGuard Fireware OS Score CVSS : 9.3 🟥 EPSS : 0.73453 🟧 VLAI : Critical 🟥 Poids social (Fediverse) : 312.0 Description : Une vulnérabilité d’écriture hors limites dans WatchGuard Fireware OS peut permettre à un attaquant distant non authentifié d’exécuter du code arbitraire. Cette vulnérabilité affecte à la fois le VPN Mobile User avec IKEv2 et le VPN Branch Office utilisant IKEv2 lorsqu’ils sont configurés avec un pair de passerelle dynamique. Cette vulnérabilité affecte Fireware OS de la version 11.10.2 jusqu’à et y compris la 11.12.4_Update1, ainsi que les versions 12.0 jusqu’à et y compris la 12.11.3 et la 2025.1. Date de publication officielle : 17 September 2025 à 07h29 Posts Fediverse (3 trouvés) 🗨️ geeknik – n/d 1996 called—it wants its stack overflow back.2025 firewall, pre-auth RCE via IKEv2, no canaries, no PIE, leaks its version in base64 like a name tag.“First line of defense” popping RIP to DEADBEEF. 🔥 yIKEs.https://labs.watchtowr.com/yikes-watchguard-fireware-os-ikev2-out-of-bounds-write-cve-2025-9242/ ...

21 décembre 2025 · 9 min

CISA inscrit une faille critique d’ASUS Live Update (CVE-2025-59374) au catalogue KEV

Selon Malwarebytes, la CISA a ajouté la vulnérabilité ASUS Live Update Embedded Malicious Code (CVE-2025-59374, CVSS 9.3) à son catalogue KEV, signalant une exploitation réelle et urgente. La faille concerne l’utilitaire ASUS Live Update, utilisé pour distribuer des mises à jour de firmware et logiciels sur les appareils ASUS. 🚨 Détails clés: la CISA indique que des appareils affectés peuvent être abusés pour exécuter des actions non prévues si certaines conditions sont réunies. Bien que le support d’ASUS Live Update soit désormais interrompu, la version finale prévue (3.6.15) continue de fournir des mises à jour, ce qui explique l’attribution d’un CVE et son ajout au KEV. ...

21 décembre 2025 · 2 min

CVE-2025-14282 : élévation de privilèges dans Dropbear via redirections de sockets UNIX

Source : oss-sec (mailing list). Dans un post signé par “turistu” le 16 décembre 2025, un rapport technique décrit CVE-2025-14282 affectant le serveur SSH Dropbear en mode multi-utilisateur. • Problème principal : Dropbear exécute les redirections de sockets (TCP/UNIX) en tant que root durant l’authentification et avant le spawn du shell, ne basculant de manière permanente vers l’utilisateur connecté qu’ensuite. Avec l’ajout récent du forwarding vers des sockets de domaine UNIX (commit 1d5f63c), un utilisateur SSH authentifié peut se connecter à n’importe quel socket UNIX avec les identifiants root, contournant les permissions du système de fichiers et les contrôles SO_PEERCRED / SO_PASSCRED. ...

21 décembre 2025 · 2 min
Dernière mise à jour le: 5 juillet 2026 📝