International

Source : BleepingComputer Date : Février 2026 Produit concerné : n8n (plateforme open source d’automatisation de workflows) Identifiant : CVE-2026-25049 Selon BleepingComputer, plusieurs vulnérabilités critiques affectent n8n, une plateforme open-source d’automatisation de workflows, permettant à un attaquant d’échapper au confinement de l’environnement et de prendre le contrôle total du serveur hôte. Plusieurs vulnérabilités critiques ont été découvertes dans n8n, une plateforme d’automatisation de workflows très utilisée. Collectivement suivies sous CVE-2026-25049, ces failles permettent à tout utilisateur authentifié capable de créer ou modifier un workflow d’échapper au sandbox et d’exécuter du code arbitraire sur le serveur hébergeant n8n. ...

Source: watchTowr Labs publie une analyse technique des CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile (EPMM), notant une exploitation active par un APT et l’ajout immédiat des failles à la liste KEV de la CISA. ⚠️ Problématique: deux RCE pré-auth activement exploitées dans Ivanti EPMM. Ivanti a diffusé des RPM de mitigation temporaires (à réappliquer après changements) en attendant la version 12.8.0.0 prévue en T1 2026. Aucun binaire EPMM n’est encore « corrigé »; l’approche remplace des scripts Bash par des classes Java et modifie la config Apache. ...

Selon VulnCheck, des exploitations de la vulnérabilité CVE-2025-11953 (« Metro4Shell ») ont été observées dès le 21 décembre 2025 sur des serveurs Metro (outil de bundling et dev pour React Native), avec des charges utiles cohérentes relevées à plusieurs dates en janvier 2026. • Contexte et vulnérabilité. Metro peut exposer par défaut un endpoint /open-url; sur Windows, celui-ci permet à un attaquant non authentifié d’exécuter des commandes OS via un POST. La faille a été analysée par JFrog, suivie de POC publics sur GitHub. VulnCheck note un décalage entre l’exploitation réelle et sa reconnaissance publique (EPSS 0,00405), malgré une surface exposée sur Internet. ...

Selon OpenSourceMalware.com, une vaste campagne d’empoisonnement de registre touche l’écosystème des « skills » ClawdBot/Moltbot, avec des paquets publiés sur ClawHub et GitHub entre fin janvier et début février 2026. – Des dizaines puis des centaines de « skills » thématisés crypto (ByBit, Polymarket, Axiom, Reddit, LinkedIn) utilisent une ingénierie sociale sophistiquée (fausses alertes et « AuthTool » obligatoire) pour conduire l’utilisateur à télécharger et exécuter des binaires malveillants. Le tout vise des utilisateurs macOS et Windows de ClawdBot/Claude Code/Moltbot, avec un C2 unique 91.92.242.30. Les auteurs citent un total de 386 skills impliqués, avec une première salve fin janvier et une seconde, plus massive, entre le 31 janvier et le 2 février. ...

Selon Cyber Security News, le botnet Aisuru/Kimwolf a lancé la campagne « The Night Before Christmas » dès le 19 décembre 2025, aboutissant à l’attaque DDoS publique la plus volumineuse jamais observée avec un pic de 31,4 Tbps, combinant des attaques couche 4 à bande passante record et des floods HTTP dépassant 200 millions de requêtes par seconde. • Point saillant: le pic de 31,4 Tbps dépasse le précédent record de 29,7 Tbps (septembre 2025) attribué au même botnet. Les sources d’attaque provenaient de box Android TV non officielles compromis(es), orchestrées en rafales intenses. ...

Selon Silent Push (alerte du 26 janvier 2026), une campagne massive d’usurpation d’identité menée par le groupe SLSH cible des comptes SSO d’entreprises à forte valeur (dont Okta), via une infrastructure de phishing en direct couplée à des opérations de vishing. ⚠️ SLSH (« Scattered LAPSUS$ Hunters ») est une alliance de Scattered Spider, LAPSUS$ et ShinyHunters. Leur opération n’est pas automatisée mais pilotée par des humains, synchronisant appels téléphoniques aux employés/Help Desk et pages de phishing qui reproduisent les écrans d’authentification pour intercepter identifiants et tokens MFA en temps réel et obtenir un accès immédiat aux tableaux de bord d’entreprise. ...

Selon Sucuri (blog), dans un billet publié le 31 janvier 2026, une nouvelle technique de malware ciblant WordPress crée de faux « répertoires » pour contourner et remplacer les permaliens, afin de diffuser du contenu de spam destiné aux moteurs de recherche. L’article met en avant une technique de malware inédite sur WordPress qui exploite des répertoires factices pour outrepasser les permaliens. L’objectif est la diffusion de spam aux moteurs de recherche, avec un impact direct sur la visibilité et l’intégrité des sites affectés. ...

Selon LeMagIT (article de Valéry Rieß-Marchive, 23 janv. 2026), le groupe de ransomware Alphv/BlackCat, auteur d’un retentissant exit-scam en 2024, préparerait un retour en s’appuyant sur une infrastructure décentralisée basée sur la blockchain ICP (Internet Computer Protocol), d’après un échange rapporté par VX-Underground. • Contexte et historique: Le 5 mars 2024, Alphv/BlackCat est parti « avec la caisse » après avoir détourné à son profit la part d’un affidé sur une rançon de 22 M$ et engrangé au moins 10 M$ depuis le début de 2024. Des sources indiquent qu’il aurait opéré ensuite sous les bannières de RansomHub puis DragonForce. ...

Selon le dépôt GitHub du projet Chronix, l’outil propose un espace de travail collaboratif auto‑hébergé destiné aux pentesters et opérateurs Red Team, pour capturer notes, commandes, sorties et contexte opérationnel tout au long des engagements. 🛠️ Fonctionnalités principales : journalisation chronologique (source, destination, outil, commande, sortie, résultat), notes collaboratives en Markdown avec auto‑sauvegarde et historique, synchronisation temps réel via WebSocket, filtres/recherche (par outil, cible, texte), exports CSV/Markdown (notes en .md ou archive .zip avec pièces jointes), et collage d’images (PNG/JPEG/GIF/WebP) directement dans les notes. ...

Source: Google Threat Intelligence Group (GTIG), 27 janvier 2026. GTIG décrit une exploitation active et étendue de CVE-2025-8088 dans WinRAR, utilisée comme vecteur d’accès initial et de persistance par des acteurs étatiques et financiers, avec des indicateurs de compromission fournis et un rappel du correctif disponible depuis fin juillet 2025. Vulnérabilité et chaîne d’exploitation: la CVE-2025-8088 est une faille de traversée de répertoires dans WinRAR exploitant les Alternate Data Streams (ADS). Des archives RAR piégées contiennent des documents leurres et des entrées ADS malveillantes; lors de l’ouverture avec une version vulnérable, le contenu caché est écrit à un emplacement arbitraire, souvent le dossier Startup de Windows pour la persistance (ex. via des fichiers LNK). L’exploitation a été observée dès le 18 juillet 2025 et RARLAB a corrigé via WinRAR 7.13 le 30 juillet 2025. 🔧 ...