GLPI 11.0.0–11.0.5 : chaĂźne 0-day Blind XSS + SSTI permettant un RCE non authentifiĂ©

🔍 Contexte PubliĂ© le 3 avril 2026 sur le blog de BZHunt (https://www.bzhunt.fr/blog/cve_glpi/), cet article prĂ©sente l’anatomie complĂšte d’une chaĂźne d’exploitation 0-day dĂ©couverte en fĂ©vrier 2026 dans GLPI, l’outil ITSM open source largement dĂ©ployĂ© en Europe pour la gestion de parcs informatiques, tickets et inventaires d’actifs. 🐛 VulnĂ©rabilitĂ©s identifiĂ©es Trois CVE ont Ă©tĂ© assignĂ©s, dont deux forment la chaĂźne critique : CVE-2026-26027 (CVSS 7.5 – High) : Blind Stored XSS non authentifiĂ©e via l’endpoint /Inventory. Les champs deviceid, tag et useragent sont stockĂ©s sans assainissement HTML dans Agent::handleAgent() et rendus via le filtre Twig |raw, dĂ©sactivant l’auto-Ă©chappement. PĂ©rimĂštre : GLPI 10.0.0–11.0.5. CVE-2026-26026 (CVSS 9.1 – Critical) : SSTI → RCE via double compilation Twig dans QuestionTypeDropdown.php. Le template Twig est reconstruit en concatĂ©nant du HTML dĂ©jĂ  rendu avec un template non rendu, puis resoumis Ă  renderFromStringTemplate(). La fonction call() (alias de call_user_func_array()) exposĂ©e par PhpExtension et les superglobales $_GET/$_POST accessibles comme variables Twig permettent l’exĂ©cution de commandes OS. PĂ©rimĂštre : GLPI 11.0.0–11.0.5. CVE-2026-26263 (CVSS 8.1 – High) : SQL Injection non authentifiĂ©e dans le moteur de recherche. IndĂ©pendante de la chaĂźne, fera l’objet d’un article sĂ©parĂ©. ⛓ ChaĂźne d’exploitation complĂšte Injection XSS : envoi d’une requĂȘte POST non authentifiĂ©e vers /Inventory avec un payload JavaScript dans le champ tag Account Takeover : lorsqu’un administrateur consulte Administration → Agents, le payload s’exĂ©cute dans sa session, contourne la protection CSRF en rĂ©cupĂ©rant dynamiquement le token, et crĂ©e silencieusement un compte super-administrateur SSTI → RCE : avec le compte créé, l’attaquant injecte {{ call(_get.fn, [_get.a]) }} dans une valeur d’option dropdown, puis dĂ©clenche l’exĂ©cution via /ajax/common.tabs.php?fn=shell_exec&a=id đŸ’„ Impact ExĂ©cution de commandes OS arbitraires sous l’identitĂ© du serveur web (www-data) Exfiltration de credentials BDD, fichiers de configuration, donnĂ©es utilisateurs Pivot rĂ©seau depuis le serveur GLPI compromis Persistance (web shells, tĂąches cron, clĂ©s SSH, comptes backdoor) Risque supply chain sur l’ensemble du parc IT managĂ© đŸ› ïž Fichiers clĂ©s affectĂ©s src/Glpi/Inventory/Conf.php (l.1309) : auth_required = 'none' par dĂ©faut src/Agent.php (l.420–434) : stockage sans sanitisation templates/components/form/fields_macros.html.twig (l.787) : filtre |raw src/Glpi/Form/QuestionType/QuestionTypeDropdown.php (l.205) : double compilation src/Glpi/Application/View/Extension/PhpExtension.php (l.90–106) : call() = call_user_func_array() src/Glpi/Application/View/TemplateRenderer.php (l.127–129) : exposition des superglobales 📅 Timeline de divulgation FĂ©vrier 2026 : dĂ©couverte et signalement Ă  l’équipe GLPI 3 mars 2026 : publication du patch (GLPI 11.0.6) Mars/Avril 2026 : publication de l’article 📄 Nature de l’article Il s’agit d’une analyse technique approfondie (vulnerability research / full disclosure) publiĂ©e par BZHunt aprĂšs patch, incluant des preuves de concept, des extraits de code source, des payloads d’exploitation et une preuve de RCE confirmĂ©e sur GLPI 11.0.5. ...

5 avril 2026 Â· 3 min

IRQL : un langage de requĂȘte CTI unifiĂ© en KQL pour l'analyse de sĂ©curitĂ©

🔍 Contexte PubliĂ© le 04/05/2026 sur GitHub (gist de Diana Damenova), cet article prĂ©sente IRQL (Incident Response Query Language), une bibliothĂšque de fonctions KQL (Kusto Query Language) conçue pour unifier et simplifier l’analyse des logs de sĂ©curitĂ© dans des environnements Microsoft (Azure, Sentinel, Defender XDR). đŸ› ïž Description de l’outil IRQL a Ă©tĂ© créé par Saar Ron, John Lambert et Diana Damenova. Il s’agit d’un ensemble de fonctions KQL organisĂ©es en cinq familles : ...

5 avril 2026 Â· 2 min

LOLDrivers : ajout de nouveaux drivers vulnérables IoBitUnlocker, Zemana et TfSysMon utilisés en BYOVD

🔍 Contexte Le 13 mars 2026, une pull request (#221) a Ă©tĂ© fusionnĂ©e dans le dĂ©pĂŽt public LOLDrivers (magicsword-io), un projet de rĂ©fĂ©rencement de drivers lĂ©gitimes mais vulnĂ©rables exploitables dans des attaques BYOVD (Bring Your Own Vulnerable Driver). La contribution a Ă©tĂ© initiĂ©e par le chercheur mnznndr97 le 28 mars 2025 et approuvĂ©e aprĂšs plusieurs mois de revue. đŸ§© Contenu de la contribution Trois nouveaux drivers vulnĂ©rables ont Ă©tĂ© documentĂ©s et ajoutĂ©s au rĂ©fĂ©rentiel : ...

5 avril 2026 Â· 2 min

Operation PowerOFF : des honeypots DDoS-for-hire opérés par la police néerlandaise découverts

📰 Source : lina.sh/blog/ddos-honeypot — Publication du 04/05/2026. Article d’analyse technique rĂ©digĂ© par un chercheur indĂ©pendant ayant investiguĂ© l’infrastructure d’Operation PowerOFF. Contexte : Operation PowerOFF Operation PowerOFF est une opĂ©ration internationale coordonnĂ©e visant Ă  dĂ©manteler les services DDoS-for-hire (booters). Elle implique le FBI, la UK National Crime Agency (NCA), Europol, et est principalement pilotĂ©e par la police nĂ©erlandaise (Politie). L’opĂ©ration a conduit Ă  la saisie d’environ une centaine de domaines et Ă  plusieurs arrestations. ...

5 avril 2026 Â· 3 min

Pay2Key : retour du ransomware iranien avec une variante améliorée ciblant la santé US

🎯 Contexte PubliĂ© le 24 mars 2026 par Halcyon et Beazley Security, ce rapport conjoint analyse une intrusion ransomware attribuĂ©e Ă  Pay2Key, groupe liĂ© au gouvernement iranien actif depuis 2020, ayant ciblĂ© une organisation de santĂ© amĂ©ricaine en fĂ©vrier 2026. đŸ•”ïž Attribution et contexte gĂ©opolitique Pay2Key est suivi sous plusieurs alias : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En aoĂ»t 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribuĂ© ce groupe Ă  l’Iran. L’activitĂ© du groupe s’intensifie systĂ©matiquement lors de tensions gĂ©opolitiques impliquant l’Iran. En fin 2025, le groupe a tentĂ© de vendre son infrastructure RaaS (pour 0,15 BTC) sur des forums underground et sur X/Twitter, sans rĂ©solution claire. ...

5 avril 2026 Â· 5 min

PoC Rust : contournement AMSI sans patch via Page Guard sur AmsiScanBuffer

🔍 Contexte PubliĂ© sur GitHub (Whitecat18/Rust-for-Malware-Development), cet article prĂ©sente un proof-of-concept (PoC) en Rust implĂ©mentant un contournement de l’Antimalware Scan Interface (AMSI) de Microsoft sans modifier un seul octet de amsi.dll. ⚙ MĂ©canisme technique La technique repose sur l’exploitation des exceptions de page mĂ©moire gardĂ©e (Page Guard) : La page mĂ©moire contenant AmsiScanBuffer est transformĂ©e en « trap » via VirtualProtect avec le flag PAGE_GUARD. Tout appel Ă  AmsiScanBuffer dĂ©clenche une violation de page gardĂ©e (exception 0x80000001) avant l’exĂ©cution de la premiĂšre instruction. Un Vectored Exception Handler (VEH) intercepte cette exception et : Écrit AMSI_RESULT_CLEAN dans la variable rĂ©sultat du caller (via dĂ©rĂ©fĂ©rencement du pointeur en [Rsp+0x30]). Simule un ret pour retourner au caller. RĂ©arme le piĂšge via une exception de single-step (0x80000004) pour le prochain appel. đŸ§© Point critique d’implĂ©mentation L’article souligne un gotcha critique : l’argument 6 sur la pile ([Rsp+0x30]) est un pointeur vers AMSI_RESULT, pas la valeur directe. Il faut charger le pointeur puis le dĂ©rĂ©fĂ©rencer — Ă©crire directement dans le slot de pile corrompt la pile sans affecter la variable rĂ©sultat du caller. ...

5 avril 2026 Â· 2 min

Rétro-ingénierie de gdrv3.sys (Gigabyte) : 13 primitives d'accÚs matériel exploitables en BYOVD

🔍 Contexte Article de recherche publiĂ© le 02 mai 2026 sur le blog personnel d’Aaron Haymore (zonifer.dev). L’auteur prĂ©sente une analyse technique complĂšte du pilote noyau gdrv3.sys livrĂ© avec Gigabyte APP Center, dans le cadre d’une Ă©tude sur les attaques BYOVD (Bring Your Own Vulnerable Driver). 🎯 Objet de l’analyse Le pilote gdrv3.sys (MD5 : 2791bbd810b9bc086bb1631e0f16c821) est un pilote WDF signĂ© par Microsoft, dĂ©posĂ© dans C:\Windows\System32\drivers lors de l’installation de Gigabyte APP Center. L’analyse de sa table d’imports dans Ghidra rĂ©vĂšle des fonctions dangereuses : MmMapIoSpace, MmGetPhysicalAddress, MmAllocateContiguousMemory, MmMapLockedPagesSpecifyCache, RDMSR/WRMSR. ...

5 avril 2026 Â· 3 min

VanGuard : toolkit DFIR open-source tout-en-un pour la réponse à incident en entreprise

đŸ›Ąïž Contexte PubliĂ© le 04/05/2026 sur GitHub par Ridgeline Cyber Defence, VanGuard est un toolkit de rĂ©ponse Ă  incident (DFIR) open-source dĂ©veloppĂ© en Go, conçu pour les Ă©quipes de sĂ©curitĂ© en entreprise. Il se prĂ©sente comme un binaire unique, portable, sans installation requise, compatible Windows et Linux. 🔧 FonctionnalitĂ©s principales VanGuard consolide l’ensemble du cycle de vie IR dans un seul exĂ©cutable : Triage rapide : collecte de 20+ catĂ©gories d’artefacts Windows et 15+ Linux (processus, logs, tĂąches planifiĂ©es, historique navigateur, registre, connexions rĂ©seau, etc.) Threat Hunting : intĂ©gration de Hayabusa (Sigma), Chainsaw, Loki (IOC scanning), YARA ; dĂ©tection de LOLBins, autoruns suspects, DLL hijacking, unitĂ©s systemd rogues, binaires SUID, patterns C2 Forensique mĂ©moire : capture via DumpIt, WinPMEM, AVML, LiME ; analyse via Volatility3 Collecte disque : KAPE + EZ Tools (Windows), UAC (Linux) OpĂ©rations Velociraptor : gestion complĂšte du cycle de vie serveur/agent, dĂ©ploiement via WinRM/SSH/PSExec, VQL, hunts OpĂ©rations distantes : exĂ©cution simultanĂ©e sur plusieurs endpoints, authentification NTLM/SSH/PSExec Reporting : rapports HTML auto-contenus, super-timelines CSV, clustering MITRE ATT&CK automatique 📋 BibliothĂšque de 28 cas d’usage prĂ©-construits Chaque cas d’usage inclut un mapping MITRE ATT&CK, une classification de sĂ©vĂ©ritĂ© et une collecte d’artefacts phasĂ©e : ...

5 avril 2026 Â· 2 min

Webshells PHP contrÎlés par cookies : persistance furtive dans les environnements Linux

🔍 Contexte PubliĂ© le 2 avril 2026 par la Microsoft Defender Security Research Team, cet article constitue une analyse technique approfondie d’une technique d’attaque observĂ©e dans des environnements d’hĂ©bergement Linux partagĂ©s. L’équipe documente l’abus de webshells PHP contrĂŽlĂ©s par cookies HTTP comme canal de commande furtif. 🎯 Technique principale : Cookie-gated PHP webshells Au lieu d’exposer les fonctionnalitĂ©s malveillantes via des paramĂštres d’URL ou le corps des requĂȘtes, ces webshells restent dormants jusqu’à la rĂ©ception de valeurs de cookies spĂ©cifiques fournies par l’attaquant. Le mĂ©canisme repose sur la superglobale PHP $_COOKIE, permettant une activation discrĂšte sans modification frĂ©quente des fichiers sur disque. ...

5 avril 2026 Â· 3 min

Xloader v8.1+ : nouvelles techniques d'obfuscation et protocole C2 détaillés

🔍 Contexte PubliĂ© le 31 mars 2026 par ThreatLabz (Zscaler), cet article constitue une analyse technique approfondie des Ă©volutions introduites dans Xloader Ă  partir de la version 8.1, un malware de type stealer/loader issu du rebranding de FormBook. đŸ›Ąïž Nouvelles techniques d’obfuscation (v8.1+) Xloader v8.1 introduit plusieurs amĂ©liorations significatives pour contrer l’analyse automatisĂ©e et le reverse engineering : Construction dĂ©sordonnĂ©e des paramĂštres « eggs » : les marqueurs de dĂ©but et de fin des fonctions chiffrĂ©es sont dĂ©sormais construits dans un ordre alĂ©atoire et octet par octet, rendant le pattern matching inefficace. Obfuscation des prĂ©dicats opaques : les valeurs constantes hardcodĂ©es sont chiffrĂ©es via des opĂ©rations XOR au niveau bit, y compris les octets de prologue de fonctions. Routine de dĂ©chiffrement personnalisĂ©e obfusquĂ©e : la fonction de dĂ©chiffrement passe dĂ©sormais par une structure de paramĂštres contenant des valeurs hardcodĂ©es chiffrĂ©es (ex. : dĂ©chiffrement de la taille de la S-box via la valeur 0x25 + 0xDB). L’outil Miasm framework est recommandĂ© pour reconstruire statiquement la pile obfusquĂ©e. 🌐 Protocole rĂ©seau et communication C2 Objectifs principaux d’Xloader : ...

5 avril 2026 Â· 3 min
Derniùre mise à jour le: 2 juillet 2026 📝