Monde

Selon Endor Labs, une vulnérabilité critique d’injection SQL, CVE-2025-64459 (CVSS v3.1: 9.1), affecte le framework web Python Django. Sont concernés Django 6.0 (beta), 5.2, 5.1 et 4.2 (et potentiellement des versions plus anciennes). Des correctifs sont disponibles dans Django 5.2.8, 5.1.14 et 4.2.26. 🚨 Le problème survient lorsque des applications passent des entrées utilisateur directement à des méthodes QuerySet (filter(), exclude(), get()) via l’expansion de dictionnaire. Des attaquants peuvent injecter les paramètres internes de Django — _connector (AND/OR/XOR) et _negated (inversion booléenne) — pour manipuler la logique SQL, entraînant accès non autorisé, contournement d’authentification et élévation de privilèges, parfois sans authentification préalable. ...

Selon BleepingComputer, une faille critique affecte la bibliothèque JavaScript expr-eval, découverte par le chercheur Jangwoo Choe et suivie sous l’identifiant CVE-2025-12735, avec une sévérité notée 9,8 par la CISA. Le CERT-CC de l’institut SEI de Carnegie Mellon a publié un avertissement soulignant le risque de prise de contrôle total du comportement logiciel et de divulgation complète des informations. ⚠️ Nature de la vulnérabilité: la validation insuffisante de l’objet variables/contexte passé à la fonction Parser.evaluate() permet à un attaquant de fournir des objets fonction malveillants que le parseur invoque lors de l’évaluation, aboutissant à une exécution de code à distance (RCE) via des entrées spécialement conçues. ...

Source: Trustwave SpiderLabs — Dans un billet signé Karl Biron, Trustwave dévoile MAD-CAT, un outil d’émulation offensive qui reproduit fidèlement la campagne de corruption de données « Meow » observée depuis 2020, et publie une rétrospective des tendances Shodan jusqu’en 2025. • MAD-CAT est un outil d’attaque simulée qui cible les six plateformes touchées par « Meow »: MongoDB, Elasticsearch, Cassandra, Redis, CouchDB, Hadoop HDFS. Il supporte les modes non authentifié (sans mécanisme d’auth) et authentifié (identifiants par défaut/faibles), les attaques mono-cible et en masse via CSV, et une architecture extensible (factory pattern). Un environnement Docker Compose fournit six services vulnérables pré-peuplés de données pour des tests sûrs. ...

Selon mozilla.org (Brian Smith), le 7 novembre 2025, Mozilla annonce « Firefox Support for Organizations », un programme de support dédié pour les équipes déployant Firefox à grande échelle, avec un démarrage opérationnel prévu en janvier 2026. Le programme cible les organisations (entreprises, écoles, administrations) qui utilisent Firefox et l’ESR pour la sécurité, la résilience et la souveraineté des données, et qui veulent un accompagnement confidentiel, fiable et personnalisé. Principales offres du programme: ...

Selon Socket (Threat Research Team), neuf paquets NuGet publiés entre 2023 et 2024 sous l’alias « shanhai666 » contiennent du code malveillant à activation temporisée visant des applications .NET et des systèmes industriels; 9 488 téléchargements sont recensés et, bien que signalés à NuGet le 5 novembre 2025, les paquets étaient encore accessibles au moment de la publication. • Nature de l’attaque: campagne de supply chain utilisant des méthodes d’extension C# pour intercepter de façon transparente les opérations BD/PLC. Les packages sont 99% fonctionnels pour inspirer confiance et masquer ~20 lignes de charge malveillante. Les déclencheurs rendent l’attaque probabiliste (20% par opération) et temporellement différée (2027–2028 pour BD), compliquant la détection et l’attribution. ...

Selon BleepingComputer, trois vulnérabilités nouvellement divulguées affectent le runtime de conteneurs runC, utilisé par Docker et Kubernetes. Trois failles critiques dans runC (Docker / Kubernetes) permettent d’échapper au conteneur Des vulnérabilités dévoilées cette semaine dans runC — le runtime de conteneurs de référence OCI utilisé par Docker et Kubernetes — peuvent permettre à un attaquant d’obtenir des accès en écriture au système hôte avec les privilèges root si elles sont exploitées. Les CVE sont CVE-2025-31133, CVE-2025-52565 et CVE-2025-52881 ; des correctifs sont inclus dans runC versions 1.2.8, 1.3.3, 1.4.0-rc.3 et ultérieures (CVE-2025-31133 & CVE-2025-52881 affectent toutes les versions ; CVE-2025-52565 impacte runC 1.0.0-rc3 et suivantes). ...

Selon BleepingComputer, plusieurs paquets malveillants publiés sur le registre NuGet contiennent des charges de sabotage programmées pour s’activer en 2027 et 2028. Les cibles mentionnées sont des implémentations de bases de données et des dispositifs de contrôle industriel Siemens S7 🏭, suggérant un risque pour des environnements applicatifs et des systèmes ICS. Points clés: Paquets malveillants sur NuGet (chaîne d’approvisionnement logicielle) ⚠️ Charges de sabotage à activation différée (2027–2028) Ciblage de bases de données et d’équipements Siemens S7 TTPs observés (d’après l’extrait): ...

Source: Cisco Security Advisory (sec.cloudapps.cisco.com). Cisco publie un avis sur une vulnérabilité d’exécution de code à distance (RCE) via des services web/SSL impactant plusieurs familles de produits lorsque certaines fonctionnalités sont activées, et fournit des commandes pour déterminer si un équipement est exposé. Produits affectés (selon configuration) et identifiants internes: Secure Firewall ASA/FTD (CSCwo18850), IOS avec Remote Access SSL VPN activé (CSCwo35704), IOS XE avec Remote Access SSL VPN activé (CSCwo35704, CSCwo35779), et IOS XR 32-bit sur routeurs ASR 9001 avec HTTP server activé (CSCwo49562). Cisco NX-OS n’est pas affecté. ...

Source: Fenrisk — Article technique décrivant une vulnérabilité d’exécution de code à distance dans CentOS Web Panel (CWP), ses conditions d’exploitation, une preuve de concept et la disponibilité d’un correctif. • La vulnérabilité (CVE-2025-48703) combine un contournement d’authentification et une injection de commande dans le paramètre t_total du module « filemanager » (action changePerm). Le backend exécute un chmod via sh -c, rendant l’instruction injectable. Un attaquant non authentifié, connaissant un nom d’utilisateur non-root valide, peut ainsi exécuter des commandes arbitraires. ...

Selon KrebsOnSecurity, depuis une semaine, des domaines associés au vaste botnet Aisuru ont à plusieurs reprises supplanté Amazon, Apple, Google et Microsoft dans le classement public des sites les plus fréquemment sollicités de Cloudflare. Cloudflare a réagi en retirant/masquant (« redacting ») les noms de domaine d’Aisuru de ses listes des sites les plus consultés. Points clés: Menace: botnet Aisuru. Impact: usurpation du classement des sites les plus demandés, devant de grands acteurs (Amazon, Apple, Google, Microsoft). Réponse: Cloudflare a occulté les domaines concernés dans ses « top websites ». IOCs et TTPs: ...