Monde

Selon Sucuri (blog.sucuri.net), des chercheurs décrivent une campagne de malware ciblant des sites WordPress en modifiant le fichier de thème functions.php afin d’injecter du JavaScript malveillant depuis une infrastructure distante, avec au moins 17 sites affectés. ⚠️ Le vecteur d’infection repose sur l’ajout d’une fonction PHP ti_customjavascript() au sein de functions.php, exécutée à chaque chargement de page via le hook wp_head. Cette fonction établit une connexion POST vers hxxps://brazilc[.]com/ads[.]php et insère directement la réponse dans la balise du HTML. ...

Source: Cybereason — Cybereason décrit une campagne d’exfiltration de données menée par le groupe CL0P entre juillet et septembre 2025 contre des déploiements on‑premise d’Oracle E‑Business Suite (EBS). L’opération, similaire aux précédentes campagnes de CL0P (ex. MOVEit), s’appuie sur des vulnérabilités corrigées dans la CPU Oracle de juillet 2025. Oracle a confirmé l’exploitation de failles déjà identifiées et a exhorté à appliquer immédiatement les correctifs. Les vulnérabilités exploitées incluent CVE-2025-30746 (iStore), CVE-2025-30745 (MES for Process Manufacturing) et CVE-2025-50107 (Universal Work Queue). Classées de sévérité moyenne, elles sont exploitables à distance via HTTP par des attaquants non authentifiés, avec une certaine interaction utilisateur requise. Les correctifs sont disponibles depuis la CPU de juillet 2025. ...

The Register (Jessica Lyons) signale une vulnérabilité majeure dans Red Hat OpenShift AI, identifiée comme CVE-2025-10725 et notée CVSS 9,9, permettant une élévation de privilèges depuis un compte faiblement privilégié jusqu’à administrateur de cluster. L’article a été publié le 1er octobre 2025. 🚨 La faille provient d’un ClusterRole nommé « kueue-batch-user-role » incorrectement lié au groupe system:authenticated. Cette liaison donne à toute entité authentifiée (ex. comptes de data scientists via Jupyter notebook) la permission de créer des Jobs OpenShift dans n’importe quel namespace. ...

Selon une communication de Discord, un acteur non autorisé a compromis un prestataire tiers de service client, affectant des utilisateurs ayant interagi avec les équipes Support et Trust & Safety. L’incident implique la compromission d’un fournisseur tiers de service client. À la suite de cette intrusion, l’acteur non autorisé a accédé à des informations concernant un nombre limité d’utilisateurs ayant contacté Discord via le Support Client et/ou l’équipe Trust & Safety. ...

Selon Arctic Wolf, Oracle a indiqué que des clients E‑Business Suite reçoivent des emails d’extorsion après exploitation de neuf vulnérabilités corrigées dans le Critical Patch Update de juillet 2025. Les vulnérabilités concernent plusieurs produits et composants d’Oracle E‑Business Suite, notamment Oracle Lease and Finance Management, Mobile Field Service, Universal Work Queue, ainsi que les composants Applications Framework, CRM Technical Foundation, iStore et Universal Work Queue. Neuf CVE sont listées: CVE-2025-30743, CVE-2025-30744, CVE-2025-50105, CVE-2025-50071, CVE-2025-30746, CVE-2025-30745, CVE-2025-50107, CVE-2025-30739, CVE-2025-50090. ...

Selon Red Hat, une instance GitLab dédiée aux collaborations de l’équipe Consulting a subi un accès non autorisé, entraînant la copie de certaines données ; l’entreprise a coupé l’accès, isolé l’instance et engagé une enquête officielle. Red Hat indique avoir détecté un accès non autorisé à une instance GitLab utilisée dans des missions de conseil. L’accès de l’acteur tiers a été révoqué, l’instance isolée, les autorités contactées, et une enquête approfondie est en cours. Des mesures de durcissement supplémentaires ont été déployées pour prévenir toute récidive. 🔒 ...

Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées. • Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩 ...

Selon BleepingComputer, Mandiant et Google suivent une nouvelle campagne d’extorsion visant plusieurs entreprises, au cours de laquelle des dirigeants reçoivent des emails prétendant que des données sensibles ont été dérobées depuis leurs systèmes Oracle E‑Business Suite. — Points clés — Type d’attaque: campagne d’extorsion 🧨 via emails envoyés aux dirigeants. Impact allégué: vol de données sensibles. Produits concernés: Oracle E‑Business Suite. Envergure: plusieurs entreprises seraient visées. Mandiant et Google indiquent suivre l’activité de cette campagne, caractérisée par des messages adressés à des cadres pour exercer une pression autour d’une compromission revendiquée des systèmes Oracle E‑Business Suite. ...

Selon BleepingComputer, F-Droid avertit que le projet pourrait prendre fin en raison des nouvelles exigences de Google demandant à tous les développeurs Android de procéder à une vérification d’identité. L’enjeu central concerne une exigence de vérification d’identité imposée par Google à l’ensemble des développeurs Android, que F-Droid considère suffisamment contraignante pour mettre en péril la pérennité du projet F-Droid. Points clés: Projet concerné: F-Droid (répertoire d’applications Android open source) Changement imposé: vérification d’identité des développeurs Risque évoqué: fin potentielle du projet ⚠️ Aucun détail supplémentaire n’est fourni dans l’extrait sur les modalités de la vérification ni sur un calendrier précis. L’information met l’accent sur l’impact potentiel pour F-Droid face à cette nouvelle politique. ...

Source : Varonis — Dans une publication axée « Threats and Vulnerabilities », Varonis décrit « ForcedLeak », une chaîne de vulnérabilités critique affectant la plateforme AI Agentforce de Salesforce. L’attaque permet l’exfiltration discrète de données CRM via des injections de prompts indirectes au sein des formulaires Web‑to‑Lead, en tirant parti de défauts de frontières de contexte d’agents et d’une politique CSP mal configurée. Le vecteur principal est une injection de prompt indirecte dans les soumissions Web‑to‑Lead : des instructions malveillantes sont dissimulées dans le champ Description (jusqu’à 42 000 caractères) et exécutées par des agents AI autonomes lors du traitement des leads, ce qui aboutit à l’envoi de données sensibles vers des domaines contrôlés par l’attaquant, en contournant les contrôles de sécurité. Les organisations utilisant Salesforce Agentforce avec Web‑to‑Lead sont exposées immédiatement ⚠️. ...