Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025. Une vulnérabilité critique d’exécution de code à distance non authentifiée, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitée à grande échelle depuis le 3 décembre 2025. Notée CVSS v3 10.0 (v4: 9.3), elle permet l’exécution de code via une seule requête HTTP avec les privilèges du processus serveur. Les paquets vulnérables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulé avant que des exploits légitimes (dont des web shells Next.js en mémoire) se généralisent; un CVE Next.js (CVE-2025-66478) a été marqué duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet). ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-8110 [CVSS 8.7 🟧] [VLAI High 🟧] Produit : Gogs Gogs Score CVSS : 8.7 🟧 EPSS : 0.00082 🟩 VLAI : High 🟧 Poids social (Fediverse) : 1837.0 Description : Mauvaise gestion des liens symboliques dans l’API PutContents de Gogs permettant l’exécution locale de code. Date de publication officielle : 10 December 2025 à 13h23 Posts Fediverse (16 trouvés) 🗨️ cR0w h0 h0 – n/d EITW ../ 0day in Gogs.http://wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit ...

Source: Cisco Talos — Dans une analyse technique, Talos détaille une campagne de ransomware DeadLock utilisant un loader BYOVD inédit pour exploiter la vulnérabilité du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, étendre l’accès puis chiffrer des systèmes Windows avec un algorithme maison. Exploitation BYOVD et évasion des défenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnérable de Baidu renommé (« DriverGay.sys ») dans le dossier Vidéos, initialise le périphérique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vérification de privilèges — T1211: Exploitation for Defense Evasion. Cette étape désactive les défenses et élève les privilèges pour préparer le chiffrement. ...

Selon Dragos, ce rapport de menace couvre le T3 2025 (juillet-septembre) et analyse les tendances ransomware visant les environnements ICS/OT et les systèmes IT qui soutiennent les opérations industrielles. • Volume et cibles : Dragos recense 742 incidents ransomware (+) touchant des entités industrielles, avec l’Amérique du Nord en tête, suivie de l’Europe puis de l’Asie (hausse en Thaïlande). Le secteur manufacturier concentre 72% des cas (532), dont la construction (142) comme sous-secteur le plus affecté. D’autres secteurs en hausse incluent gouvernement (35) et électrique/renouvelables (16). Les impacts montrent comment des intrusions IT peuvent perturber la production et la logistique sans toucher directement les réseaux ICS. ...

Selon Palo Alto Networks (Unit 42), un nouveau ransomware nommé 01flip a été observé dès juin 2025, utilisé par le cluster financier CL-CRI-1036 contre un nombre limité de victimes en Asie-Pacifique, incluant des entités d’infrastructures critiques en Asie du Sud-Est. Les opérateurs demandent 1 BTC et communiquent via e‑mail/messagerie privée. Une publication sur forum clandestin évoque des fuites concernant des victimes aux Philippines et à Taïwan, bien que 01flip lui‑même n’intègre pas d’exfiltration. Aucune vitrine de double extorsion n’a été constatée. ...

Selon des chercheurs de ReversingLab, 19 extensions malveillantes ont été identifiées sur le Marketplace VS Code, la majorité embarquant un fichier malveillant se faisant passer pour une image PNG. Campagne malveillante ciblant VS Code via des dépendances piégées 1. Contexte général Les chercheurs de ReversingLabs ont identifié une campagne active depuis février 2025, découverte le 2 décembre 2025, impliquant 19 extensions malveillantes Visual Studio Code publiées sur le VS Code Marketplace. ...

Selon Cyber Security News, Apple a publié le 12 décembre 2025 les mises à jour iOS 26.2 et iPadOS 26.2 pour corriger deux 0‑days WebKit activement exploités, ainsi que plus de 30 vulnérabilités supplémentaires touchant plusieurs composants. 🚨 0‑days WebKit activement exploités CVE-2025-43529 (WebKit): vulnérabilité de use-after-free permettant une exécution de code arbitraire via du contenu web malveillant; découverte par Google Threat Analysis Group (TAG). CVE-2025-14174 (WebKit): corruption mémoire; créditée à Apple et Google TAG. Les deux failles sont liées à des campagnes de spyware ciblées, ciblant des utilisateurs spécifiques d’iPhone sur des versions antérieures à iOS/iPadOS 26. Autres correctifs critiques 🛠️ ...

Selon une déclaration du ministère des Affaires étrangères allemand, le service de renseignement militaire russe GRU est tenu pour responsable d’une attaque informatique survenue en août 2024, et la Russie aurait tenté, via la campagne Storm 1516, d’influencer et de déstabiliser la dernière élection de février. 🇩🇪 Attribution officielle: le GRU est désigné comme auteur de l’attaque d’août 2024. 🇷🇺 Opération d’influence: la campagne Storm 1516 est accusée d’avoir visé l’ingérence et la déstabilisation du scrutin de février. 💻 Les éléments communiqués relèvent d’une prise de position publique des autorités allemandes, soulignant l’aspect à la fois cyber (attaque informatique) et informationnel (ingérence électorale) de la menace. ...

Selon BleepingComputer, une nouvelle campagne liée au malware AMOS cible les utilisateurs via des publicités Google et des conversations se présentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces échanges servent de leurre et conduisent à l’installation du voleur d’informations AMOS sur macOS. L’élément central de l’attaque est un leurre conversationnel crédible, orchestré après un premier contact via malvertising. L’issue décrite est l’infection macOS par AMOS (info-stealer). ...

Selon TechCrunch (techcrunch.com), le PDG de Coupang, Park Dae-jun, a quitté ses fonctions après une fuite de données massive ayant exposé les informations personnelles de plus de la moitié de la population sud-coréenne. Park a présenté des excuses publiques, évoquant un fort sentiment de responsabilité pour la survenue de l’incident et la gestion de la réponse. 🧑‍💼 Coupang avait initialement indiqué en novembre que plus de 4 500 clients étaient concernés, avant de réviser ce chiffre à la hausse pour atteindre près de 34 millions de personnes. L’entreprise précise que l’intrusion aurait débuté en juin et n’a été détectée qu’en novembre. 🔐 ...