Source : Eaton, 14 janvier 2026 — Dans un billet de recherche, Eaton détaille la découverte et la divulgation de vulnérabilités critiques dans BLUVOYIX, la plateforme SaaS de logistique maritime de Bluspark Global, utilisée par environ 500 entreprises. Ces failles permettaient une prise de contrôle complète de la plateforme, l’accès à toutes les données et expéditions (certaines depuis 2007) et même l’annulation de shipments. Les problèmes étaient corrigés à la date de publication. 🚢

Principales vulnérabilités (CVE) publiées et impact :

  • CVE-2026-22236 — APIs sans vérification de jeton d’autorisation : toutes les APIs étaient non authentifiées. 🔓
  • CVE-2026-22237Documentation d’API exposée publiquement, facilitant l’exploitation conjointe avec la précédente.
  • CVE-2026-22238Création d’un compte administrateur via une requête HTTP POST sur l’API des utilisateurs.
  • CVE-2026-22239Code d’envoi d’email côté client, permettant des emails officiels utilisés pour du phishing.
  • CVE-2026-22240Mots de passe en clair : trois APIs pouvaient retourner les mots de passe en clair de tous les comptes, y compris admins. ❗

Constats techniques marquants :

  • Découverte d’un root d’API et de sa documentation publique; l’appel « getUserList » renvoyait la liste complète des utilisateurs sans authentification, incluant des mots de passe en clair.
  • Création d’un compte admin via l’API; réception d’un email contenant également le mot de passe en clair, puis connexion via le portail NVO.
  • Le login retournait un JWT, mais les APIs fonctionnaient même sans le token (auth cassée).
  • Emails formés côté client réutilisables pour envoyer des messages « officiels »; découverte d’emails valides permettant la récupération de mots de passe.
  • Accès à un sélecteur de comptes/tenants offrant la bascule entre clients nombreux; des portails clients multiples présentaient les mêmes vulnérabilités. 🛠️

Chronologie de divulgation (extraits) :

  • 9–16 oct. 2025 : tentatives de contact (LinkedIn, emails, appels) restées sans réponse.
  • 23–29 oct. 2025 : relances et premier échange via un employé; le CEO contacte la Maritime Hacking Village VDP.
  • 3–5 nov. 2025 : escalade via un journaliste (TechCrunch) et un client; contact établi avec Bluspark.
  • 7 nov. 2025 : première réunion; vulnérabilités majoritairement corrigées le jour même; échanges jusqu’au 7 jan. 2026.
  • 14 jan. 2026 : publication du billet et des 5 CVE.

TTPs observés :

  • Exploitation d’APIs non authentifiées et documentation exposée (type Swagger/équivalent).
  • Création de compte admin via POST sur l’API des utilisateurs.
  • Bypass d’authentification/JWT (absence de contrôle du header Authorization).
  • Récupération de mots de passe en clair via des endpoints dédiés.
  • Abus de code d’email côté client pour phishing.
  • Prise de contrôle de tenants via un mécanisme de bascule de comptes.

Il s’agit d’une publication de recherche exposant des vulnérabilités critiques, leur exploitation possible, l’impact métier sur la chaîne logistique maritime et la chronologie de divulgation responsable.

🧠 TTPs et IOCs détectés

TTP

Exploitation d’APIs non authentifiées et documentation exposée, Création de compte admin via POST sur l’API des utilisateurs, Bypass d’authentification/JWT, Récupération de mots de passe en clair via des endpoints dédiés, Abus de code d’email côté client pour phishing, Prise de contrôle de tenants via un mécanisme de bascule de comptes

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.

🔗 Source originale : https://eaton-works.com/2026/01/14/bluspark-bluvoyix-hack/