Selon BleepingComputer, FuzzingLabs accuse la startup soutenue par Y Combinator, Gecko Security, d’avoir répliqué ses divulgations de vulnérabilités.
- ⚔️ FuzzingLabs accuse la startup Gecko Security d’avoir copié ses découvertes de failles
Un conflit public a éclaté dans la communauté cybersécurité entre FuzzingLabs et Gecko Security, une startup soutenue par Y Combinator, après que FuzzingLabs a accusé sa concurrente d’avoir copié ses divulgations de vulnérabilités et d’avoir rétrodater ses articles de blog pour s’en attribuer le mérite.
Selon FuzzingLabs, Gecko aurait déposé des CVE pour deux failles déjà révélées par ses chercheurs, allant jusqu’à reprendre les preuves de concept (PoC) mot pour mot et à les soumettre à nouveau sous son propre nom. Les vulnérabilités concernées sont :
- Ollama (ollama/ollama) — vol de jetons d’authentification (rapport original déposé le 24 décembre 2024, CVE-2025-51471)
- Gradio (gradio-app/gradio) — copie arbitraire de fichiers et déni de service via le mécanisme de signalement (rapport original du 16 janvier 2025, CVE-2025-48889)
FuzzingLabs affirme disposer de preuves “indiscutables” de plagiat, incluant des empreintes numériques volontairement insérées dans les exploits pour authentifier leur origine. L’entreprise accuse également Gecko d’avoir modifié les dates de publication de ses billets pour faire croire à des découvertes antérieures et d’avoir repris au moins sept autres failles déjà signalées par d’autres chercheurs.
Face à ces accusations, Gecko Security a nié tout acte délibéré, parlant d’un « malentendu sur les processus de divulgation ». La startup affirme avoir travaillé directement avec les mainteneurs sur GitHub plutôt que via des plateformes tierces comme Huntr, et assure que les doublons n’étaient pas intentionnels. Après la polémique, Gecko a mis à jour ses articles pour créditer les chercheurs de FuzzingLabs et corriger les dates de publication.
Une partie de la communauté cybersécurité reste sceptique, soulignant les difficultés croissantes de coordonner la divulgation responsable des vulnérabilités et d’éviter les doublons dans l’attribution des CVE — un enjeu amplifié alors que l’avenir du programme CVE de la CISA suscite des incertitudes.
Type d’article: article de presse spécialisé relatant une controverse d’attribution et de processus CVE.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/security-firms-dispute-credit-for-overlapping-cve-reports/