CVE-2025-14847 « mongobleed »: fuite de mémoire non authentifiée dans MongoDB (correctifs disponibles)

Selon la publication du PoC « mongobleed » (auteur : Joe Desimone), une vulnĂ©rabilitĂ© rĂ©fĂ©rencĂ©e CVE-2025-14847 affecte la dĂ©compression zlib de MongoDB et permet de faire fuiter de la mĂ©moire serveur sans authentification. ‱ Nature de la faille: un dĂ©faut dans la gestion de la dĂ©compression zlib retourne la taille du tampon allouĂ© au lieu de la longueur rĂ©elle des donnĂ©es dĂ©compressĂ©es. En dĂ©clarant un champ « uncompressedSize » gonflĂ©, le serveur alloue un grand tampon, zlib Ă©crit les donnĂ©es au dĂ©but, mais MongoDB traite l’intĂ©gralitĂ© du tampon comme valide, entraĂźnant la lecture de mĂ©moire non initialisĂ©e pendant l’analyse BSON. ...

26 dĂ©cembre 2025 Â· 2 min

Data Act : la CNIL détaille le nouveau cadre de partage des données des objets connectés

Source : CNIL — Le 22 dĂ©cembre 2025, la CNIL explique le rĂšglement europĂ©en sur les donnĂ©es (Data Act), qui encadre le partage et l’utilisation des donnĂ©es gĂ©nĂ©rĂ©es par les objets connectĂ©s, en l’articulant avec le RGPD et le DGA. Le Data Act vise une Ă©conomie de la donnĂ©e plus ouverte et compĂ©titive, en fixant des rĂšgles Ă©quitables d’accĂšs et d’usage pour toutes les donnĂ©es (personnelles ou non) issues des objets connectĂ©s et de leurs services associĂ©s. Il prĂ©cise qui peut utiliser quelles donnĂ©es et comment, tout en prĂ©voyant que, en cas de contradiction, le RGPD prĂ©vaut dĂšs lors que des donnĂ©es personnelles sont en jeu. Il tient compte du Digital Governance Act (DGA) et de ses intermĂ©diaires de confiance. đŸ“ĄđŸ§© ...

26 dĂ©cembre 2025 Â· 3 min

Des marchés Telegram chinois alimentent des escroqueries crypto à des niveaux records, selon Elliptic

WIRED (23 dĂ©cembre 2025) s’appuie sur une analyse d’Elliptic pour rĂ©vĂ©ler l’essor massif de marchĂ©s chinois sur Telegram dĂ©diĂ©s aux escroqueries crypto et aux services connexes, qui dĂ©passent dĂ©sormais les volumes des plus grands marchĂ©s noirs historiques. 📈 Échelle et records: Elliptic estime que les deux plus grands marchĂ©s actuels, Tudou Guarantee et Xinbi Guarantee, facilitent ensemble prĂšs de 2 Md$ par mois (environ 1,1 Md$ et 850 M$ respectivement). Leur prĂ©dĂ©cesseur Huione/Haowang Guarantee aurait totalisĂ© 27 Md$ de transactions entre 2021 et 2025, surpassant largement AlphaBay (~1 Md$ en 2,5 ans) et Hydra (~5 Md$ en 7 ans), ce qui en fait « le plus grand marchĂ© illicite en ligne jamais opĂ©rĂ© » selon Elliptic. ...

26 dĂ©cembre 2025 Â· 3 min

DoJ saisit un domaine et une base d’identifiants volĂ©s liĂ©s Ă  des prises de contrĂŽle de comptes bancaires

Source: U.S. Department of Justice (Office of Public Affairs) — CommuniquĂ© de presse annonçant la saisie d’un domaine et d’une base de donnĂ©es utilisĂ©s dans une fraude de prise de contrĂŽle de comptes bancaires. Le DoJ indique que le domaine web3adspanels.org servait de panneau d’administration (« backend web panel ») pour stocker et manipuler des identifiants bancaires volĂ©s. Les criminels diffusaient des publicitĂ©s frauduleuses sur des moteurs de recherche (Google, Bing) imitant celles de banques lĂ©gitimes, redirigeant les victimes vers des faux sites bancaires contrĂŽlĂ©s par les attaquants. Un logiciel malveillant intĂ©grĂ© Ă  ces pages capturait les identifiants, ensuite rĂ©utilisĂ©s sur les vrais sites bancaires afin de vider les comptes. 💾 ...

26 dĂ©cembre 2025 Â· 2 min

DumpChromeSecrets contourne l’App‑Bound Encryption de Chrome pour extraire cookies et identifiants

Selon Maldev Academy, « DumpChromeSecrets » est un projet composĂ© d’un exĂ©cutable et d’une DLL qui vise l’extraction de donnĂ©es sensibles depuis des versions rĂ©centes de Google Chrome, notamment cookies, identifiants enregistrĂ©s, tokens, donnĂ©es d’autoremplissage, historique et favoris. Le fonctionnement repose sur deux composants 🧰: un exĂ©cutable lance un Chrome headless, injecte la DLL via la technique « Early Bird APC injection », puis rĂ©cupĂšre les donnĂ©es extraites par un named pipe. La DLL, exĂ©cutĂ©e dans le contexte du processus Chrome, dĂ©chiffre la clĂ© d’encryption liĂ©e Ă  l’application (App‑Bound) via l’interface COM « IElevator » et procĂšde Ă  l’extraction/dĂ©cryptage depuis les bases SQLite. ...

26 dĂ©cembre 2025 Â· 2 min

Fortinet signale l’exploitation active de CVE‑2020‑12812 (FG‑IR‑19‑283) permettant de contourner le 2FA via LDAP

Source: Fortinet (PSIRT Blog). Fortinet indique avoir observĂ© dans la nature l’abus de la vulnĂ©rabilitĂ© FG‑IR‑19‑283 / CVE‑2020‑12812 publiĂ©e en juillet 2020, liĂ©e Ă  un contournement du 2FA sur FortiGate dans des configurations prĂ©cises. Le problĂšme survient lorsque FortiGate traite les noms d’utilisateurs comme sensibles Ă  la casse par dĂ©faut, alors que le rĂ©pertoire LDAP ne l’est pas. Dans un contexte oĂč des comptes locaux FortiGate avec 2FA sont mappĂ©s Ă  LDAP, que ces mĂȘmes utilisateurs appartiennent Ă  des groupes LDAP, et qu’au moins un de ces groupes est configurĂ© dans une politique d’authentification FortiGate, une connexion avec une variante de casse du nom (ex: « JSmith » au lieu de « jsmith ») ne correspond pas au compte local et dĂ©clenche une tentative d’authentification via les autres politiques. ...

26 dĂ©cembre 2025 Â· 3 min

Intrinsec cartographie “FLY”, un acteur liĂ© Ă  l’infrastructure de Russian Market

Source: Intrinsec — Dans un rapport partagĂ© avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil « FLY » et ses liens avec la place de marchĂ© Russian Market, en s’appuyant sur des pivots techniques et des traces d’infrastructure. L’enquĂȘte met en avant la prĂ©sence de « FLY » sur des canaux cybercriminels, notamment des forums et Telegram. Intrinsec souligne que, contrairement aux affirmations du site Russian Market, un acteur liĂ© au marketplace a bien une activitĂ© publique. Sans confirmer que « FLY » est administrateur, le rapport Ă©tablit des liens concrets avec la plateforme et rappelle que « FLY » fut le premier Ă  promouvoir le marketplace sous le pseudonyme « FLYDED », ancien nom de Russian Market. âœłïž ...

26 dĂ©cembre 2025 Â· 2 min

LangChain: vulnĂ©rabilitĂ© critique d'injection de sĂ©rialisation permet l’exfiltration de secrets (CVE-2025-68664)

Selon un avis GitHub Security Advisory (dĂ©pĂŽt LangChain) publiĂ© le 23 dĂ©c. 2025, une vulnĂ©rabilitĂ© critique (GHSA-c67j-w6g6-q2cm, CVE-2025-68664, CVSS 9.3) affecte les API de sĂ©rialisation/dĂ©sĂ©rialisation de LangChain. Le dĂ©faut d’échappement du champ interne ’lc’ dans dumps()/dumpd() permet Ă  des donnĂ©es contrĂŽlĂ©es par un attaquant d’ĂȘtre interprĂ©tĂ©es comme des objets LangChain lors de load()/loads(), ouvrant la voie Ă  l’exfiltration de secrets et Ă  l’instanciation de classes au sein d’espaces de noms « de confiance ». ⚠ ...

26 dĂ©cembre 2025 Â· 2 min

Libxml2 Ă©chappe de peu Ă  l’abandon : deux nouveaux mainteneurs prennent le relais

Selon Hackaday, libxml2 — une bibliothĂšque centrale pour le traitement XML/XSLT utilisĂ©e dans GNOME, des navigateurs web et de nombreux logiciels — a briĂšvement perdu son unique mainteneur aprĂšs le dĂ©part programmĂ© de Nick Wellnhofer, avant que deux nouveaux dĂ©veloppeurs ne reprennent le projet. L’article retrace l’historique : au dĂ©but des annĂ©es 2000, l’auteur original Daniel Veillard passe la main Ă  Nick Wellnhofer. Tous deux agissent comme bĂ©nĂ©voles, avec pour tout soutien notable un don de Google, tandis que de grandes entreprises intĂšgrent la bibliothĂšque et envoient des rapports de bugs. ...

26 dĂ©cembre 2025 Â· 2 min

Malspam en Europe: chaĂźne d’infection multi‑étapes livrant l’infostealer PureLogs via CVE‑2017‑11882

Source: AISI – Osservatorio sulla Cybersecurity (Dipartimento di Management ed Economia). Contexte: rapport du Laboratorio di Analisi Malware dirigĂ© par Luigi Martire, dissĂ©quant une chaĂźne malspam distribuant l’infostealer PureLogs. Les chercheurs ont identifiĂ© une nouvelle chaĂźne de malspam utilisĂ©e pour diffuser l’infostealer PureLogs, un malware spĂ©cialisĂ© dans le vol massif de donnĂ©es sensibles. La campagne repose sur des emails de phishing ciblĂ©s, se faisant passer pour des communications lĂ©gitimes d’entreprises de logistique, afin d’inciter les victimes Ă  ouvrir des documents Microsoft Word piĂ©gĂ©s. ...

26 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 6 juillet 2026 📝