Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée.
Période analysée : 2026-02-01 → 2026-03-01.
Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation.
📌 Légende :
- CVSS : score officiel de sévérité technique.
- EPSS : probabilité d’exploitation observée.
- VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité.
- CISA KEV : vulnérabilité activement exploitée selon la CISA.
- seen / exploited : signaux observés dans les sources publiques.
CVE-2026-1731
BeyondTrust Remote Support (RS) and certain older versions of Privileged Remote Access (PRA) contain a critical pre-authentication remote code execution vulnerability. By sending specially crafted requests, an unauthenticated remote attacker may be able to execute operating system commands in the context of the site user.
Résumé de la vulnérabilité
Produits concernés : - BeyondTrust Remote Support (RS) - Certaines anciennes versions de Privileged Remote Access (PRA)
Description de la vulnérabilité
- Une vulnérabilité critique a été identifiée dans ces produits, permettant une exécution de code à distance pré-authentification (RCE).
- Un attaquant distant, non authentifié, peut exploiter cette vulnérabilité en envoyant des requêtes spécialement conçues.
Impact
- Si l'attaquant réussit à exploiter cette faille, il peut exécuter des commandes du système d’exploitation dans le contexte de l'utilisateur du site, compromettant ainsi la sécurité du système.
Explications des acronymes
- RCE (Remote Code Execution) : Une vulnérabilité qui permet à un attaquant d'exécuter des commandes arbitraires sur un système distant.
- SSR (Server-Side Request Forgery) : Une vulnérabilité où un attaquant incite un serveur à effectuer des requêtes non autorisées.
- XSS (Cross-Site Scripting) : Une vulnérabilité qui permet à un attaquant d'injecter des scripts dans des pages web consultées par d'autres utilisateurs.
Il est crucial de mettre à jour les produits concernés pour se protéger contre cette vulnérabilité.
Posts / Sources (159)
CVE-2026-2441
Use after free in CSS in Google Chrome prior to 145.0.7632.75 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. (Chromium security severity: High)
Analyse de la vulnérabilité
- Type de vulnérabilité : Utilisation après libération (Use after free) dans le CSS.
- Produit concerné : Google Chrome, versions antérieures à 145.0.7632.75.
- Impact : Permet à un attaquant distant d'exécuter du code arbitraire à l'intérieur d'un bac à sable (sandbox) en utilisant une page HTML conçue à cet effet.
Définition des termes clés
- Utilisation après libération (Use after free) : Cela se produit lorsqu'un programme continue à utiliser des zones de mémoire qui ont déjà été libérées, ce qui peut conduire à un comportement imprévisible et à l'exécution de code malveillant.
- Bac à sable (sandbox) : Environnement isolé où les applications peuvent s'exécuter sans affecter le système d'exploitation principal.
- Attaquant distant : Individu qui exploite une vulnérabilité via Internet, sans accès physique au système ciblé.
Gravité
- Sévérité : Élevée (High) dans le cadre de la sécurité Chromium, ce qui indique que cette vulnérabilité est particulièrement critique et doit être corrigée rapidement.
Il est recommandé de mettre à jour le navigateur Chrome vers la version 145.0.7632.75 ou supérieure pour se protéger contre cette vulnérabilité.
Posts / Sources (144)
CVE-2026-20841
Improper neutralization of special elements used in a command ('command injection') in Windows Notepad App allows an unauthorized attacker to execute code locally.
Traduction et Explication
Vulnérabilité : CVE-2023-XXXX
- Description : Une neutralisation incorrecte des éléments spéciaux utilisés dans une commande, également connue sous le nom d'injection de commande (
command injection), a été découverte dans l'application Notepad de Windows. - Impact : Cette vulnérabilité permet à un attaquant non autorisé d'exécuter du code localement sur la machine ciblée.
Concepts clés :
- Injection de commande (Command Injection) : Technique où un attaquant peut exécuter des commandes arbitraires sur un système en exploitant des faiblesses dans la validation des entrées. Cela peut mener à des actions non désirées sur le système, comme la modification, la suppression ou le vol de données.
Implications :
- Cette faille pourrait permettre à un attaquant de prendre le contrôle d'un système via des commandes non sécurisées, augmentant ainsi le risque pour la sécurité des données de l'utilisateur.
Précautions :
- Mise à jour : Il est conseillé de mettre à jour l'application Notepad ainsi que le système d'exploitation Windows pour corriger cette vulnérabilité.
- Sensibilisation : Évitez d'exécuter des fichiers ou des applications provenant de sources non fiables.
Restez vigilant pour assurer la sécurité de vos systèmes !
CVE-2026-21509
Reliance on untrusted inputs in a security decision in Microsoft Office allows an unauthorized attacker to bypass a security feature locally.
Vulnérabilité dans Microsoft Office : Bypass d'une fonctionnalité de sécurité
- Problème : La dépendance à des entrées non fiables dans une décision de sécurité dans Microsoft Office.
- Conséquence : Permet à un attaquant non autorisé de contourner une fonctionnalité de sécurité localement.
Explications des termes :
- Entrées non fiables : Informations ou données provenant de sources qui ne peuvent pas être entièrement vérifiées, ce qui présente un risque de sécurité.
- Bypass : Action qui consiste à contourner ou éviter un mécanisme de sécurité, permettant l’accès non autorisé.
Pourquoi c'est préoccupant :
Lorsque des décisions de sécurité s'appuient sur des entrées non fiables, cela crée une faille qui permet aux attaquants de contourner les protections en place. Cela pourrait mener à l'accès à des données sensibles ou à l'exécution de code malveillant.
En résumé :
Cette vulnérabilité met en évidence l'importance de valider toutes les entrées avant de prendre des décisions de sécurité, afin de protéger les utilisateurs de Microsoft Office contre des attaques potentielles.
Posts / Sources (208)
CVE-2026-22769
Dell RecoverPoint for Virtual Machines, versions prior to 6.0.3.1 HF1, contain a hardcoded credential vulnerability. This is considered critical as an unauthenticated remote attacker with knowledge of the hardcoded credential could potentially exploit this vulnerability leading to unauthorized access to the underlying operating system and root-level persistence. Dell recommends that customers upgrade or apply one of the remediations as soon as possible.
Dell RecoverPoint pour les machines virtuelles, versions antérieures à 6.0.3.1 HF1, contient une vulnérabilité due à un identifiant codé en dur. Voici les points clés :
- Vulnérabilité critique : Cette faille est jugée critique car un attaquant remote (à distance) non authentifié, connaissant cet identifiant codé en dur, pourrait l'exploiter.
- Accès non autorisé : Cela pourrait permettre un accès non autorisé au système d'exploitation sous-jacent et une persistance de niveau root (accès avec les privilèges les plus élevés).
- Recommandation de Dell : Dell recommande à ses clients de mettre à jour leur système ou d'appliquer l'une des mesures de remédiation dès que possible.
Explication des acronymes
- RCE (Remote Code Execution) : Exécution de code malveillant à distance.
- SSRF (Server-Side Request Forgery) : Manipulation du serveur pour qu'il fasse des requêtes à d'autres systèmes.
- XSS (Cross-Site Scripting) : Injection de scripts dans des pages web vues par d'autres utilisateurs.
En résumé : Assurez-vous de mettre à jour votre logiciel pour éviter des risques de sécurité graves.
Posts / Sources (91)
CVE-2026-1281
A code injection in Ivanti Endpoint Manager Mobile allowing attackers to achieve unauthenticated remote code execution.
Injection de code dans Ivanti Endpoint Manager Mobile
-
Problème : Une vulnérabilité permettant une injection de code a été identifiée dans Ivanti Endpoint Manager Mobile.
-
Conséquence : Les attaquants peuvent obtenir une exécution de code à distance non authentifiée (RCE, pour "Remote Code Execution"). Cela signifie qu'un attaquant peut exécuter des commandes malveillantes sur le système ciblé sans avoir besoin de se connecter.
-
CVE : Cette vulnérabilité est désignée par CVE (Common Vulnerabilities and Exposures) pour faciliter son identification.
-
Impact : Une telle faille peut permettre aux attaquants de contrôler des systèmes, de voler des données sensibles ou de provoquer des interruptions de service.
-
Mesures préventives : Il est crucial de mettre à jour Ivanti Endpoint Manager Mobile avec les derniers correctifs de sécurité pour se protéger contre cette vulnérabilité.
Acronymes utiles :
- RCE : Exécution de code à distance, permet à un attaquant d'exécuter des commandes sur un serveur ou un appareil à distance.
- CVE : Un identifiant unique pour les vulnérabilités connues.
Posts / Sources (153)
CVE-2026-20127
A vulnerability in the peering authentication in Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated, remote attacker to bypass authentication and obtain administrative privileges on an affected system. This vulnerability exists because the peering authentication mechanism in an affected system is not working properly. An attacker could exploit this vulnerability by sending crafted requests to an affected system. A successful exploit could allow the attacker to log in to an affected Cisco Catalyst SD-WAN Controller as an internal, high-privileged, non-root user account. Using this account, the attacker could access NETCONF, which would then allow the attacker to manipulate network configuration for the SD-WAN fabric.
Résumé de la Vulnérabilité
Une vulnérabilité a été identifiée dans l'authentification de peering dans les systèmes Cisco Catalyst SD-WAN Controller (anciennement SD-WAN vSmart) et Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage). Cette vulnérabilité permettrait à un attaquant distant, non authentifié, de contourner l'authentification et d'obtenir des privilèges administratifs sur un système affecté.
Détails Clés :
- Mécanisme défaillant : L’authentification de peering ne fonctionne pas correctement.
- Type d'attaque : Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes spécialement conçues à un système affecté.
- Conséquences : Une exploitation réussie permettrait à l'attaquant de se connecter au Cisco Catalyst SD-WAN Controller en tant qu'utilisateur interne avec des privilèges élevés, mais non root.
- Accès à NETCONF : Une fois connecté, l'attaquant pourrait accéder à NETCONF, un protocole de gestion de configuration, lui permettant de manipuler la configuration du réseau SD-WAN.
Explications d’Acronymes :
- RCE : Remote Code Execution (Exécution de code à distance).
- SSRF : Server-Side Request Forgery (Falsification de requête côté serveur).
- XSS : Cross-Site Scripting (Script intersite).
Cette vulnérabilité souligne l'importance de surveiller et de corriger les mécanismes d'authentification dans les systèmes critiques de gestion réseau.
Posts / Sources (77)
CVE-2026-20700
A memory corruption issue was addressed with improved state management. This issue is fixed in watchOS 26.3, tvOS 26.3, macOS Tahoe 26.3, visionOS 26.3, iOS 26.3 and iPadOS 26.3. An attacker with memory write capability may be able to execute arbitrary code. Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals on versions of iOS before iOS 26. CVE-2025-14174 and CVE-2025-43529 were also issued in response to this report.
Une problématique de corruption de mémoire a été résolue grâce à une gestion améliorée des états. Ce correctif est disponible dans les versions suivantes :
- watchOS 26.3
- tvOS 26.3
- macOS Tahoe 26.3
- visionOS 26.3
- iOS 26.3
- iPadOS 26.3
Un attaquant ayant la capacité d'écriture en mémoire pourrait être en mesure de déclencher du code arbitraire (RCE, Remote Code Execution), ce qui signifie qu'il pourrait exécuter des commandes non autorisées sur l'appareil.
Apple a été informé qu'un rapport mentionne que ce problème pourrait avoir été exploité dans une attaque extrêmement sophistiquée visant des individus spécifiques, sur des versions d’iOS antérieures à iOS 26.
Les identifiants associés sont :
- CVE-2025-14174
- CVE-2025-43529
Ces références (CVE, Common Vulnerabilities and Exposures) sont des identifiants utilisés pour documenter des vulnérabilités connues.
Posts / Sources (70)
CVE-2026-25253
OpenClaw (aka clawdbot or Moltbot) before 2026.1.29 obtains a gatewayUrl value from a query string and automatically makes a WebSocket connection without prompting, sending a token value.
OpenClaw (également connu sous les noms clawdbot ou Moltbot) avant la version 2026.1.29 présente une vulnérabilité. Voici les détails :
- Vulnérabilité : Le logiciel récupère une valeur gatewayUrl à partir d'une chaîne de requête (query string).
- Comportement dangereux : Il établit automatiquement une connexion WebSocket sans aucune demande de la part de l'utilisateur.
- Action non sécurisée : Lors de cette connexion, il envoie une valeur de token (jeton) qui pourrait contenir des informations sensibles.
WebSocket est un protocole qui permet une communication bidirectionnelle entre le client et le serveur. L'absence de confirmation de la part de l'utilisateur pour établir cette connexion et l'envoi automatique de données sensibles exposent potentiellement les utilisateurs à des attaques, car un attaquant pourrait manipuler la chaîne de requête pour injecter une URL malveillante.
Résumé des termes :
- RCE (Remote Code Execution) : Exécution de code à distance, permettant à l'attaquant de contrôler un système.
- SSRF (Server-Side Request Forgery) : Usurpage de requêtes côté serveur, où un attaquant exploite un serveur pour effectuer des requêtes non autorisées.
- XSS (Cross-Site Scripting) : Injection de scripts dans des pages web, permettant potentiellement de voler des informations de session ou d'autres données.
Cette vulnérabilité d’OpenClaw doit être corrigée pour éviter des abus potentiels.
Posts / Sources (56)
CVE-2025-55182
A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.
Une vulnérabilité d'exécution de code à distance (RCE) pré-authentification existe dans les versions de React Server Components suivantes : 19.0.0, 19.1.0, 19.1.1 et 19.2.0. Cette vulnérabilité concerne aussi les paquets suivants : react-server-dom-parcel, react-server-dom-turbopack et react-server-dom-webpack.
La vulnérabilité provient d'un code qui désérialise de manière non sécurisée les données provenant de requêtes HTTP vers des points de terminaison des fonctions serveur. Cette désérialisation non sécurisée permet à un attaquant d'envoyer des données malveillantes qui peuvent être exécutées sur le serveur, compromettant ainsi la sécurité de l'application.
Explications des acronymes :
- RCE (Remote Code Execution) : S'exécuter à distance du code malveillant sur un système.
- Désérialisation : Processus de conversion d'une représentation de données (comme un fichier ou une chaîne) en un objet utilisable. Dans ce cas, il est effectué de manière non sécurisée, exposant le système à des attaques.
Il est fortement recommandé de mettre à jour ces versions afin de protéger votre application contre de potentielles exploitations.
Posts / Sources (1000)
CVE-2026-25049
n8n is an open source workflow automation platform. Prior to versions 1.123.17 and 2.5.2, an authenticated user with permission to create or modify workflows could abuse crafted expressions in workflow parameters to trigger unintended system command execution on the host running n8n. This issue has been patched in versions 1.123.17 and 2.5.2.
n8n est une plateforme open source d'automatisation de workflows. Avant les versions 1.123.17 et 2.5.2, un utilisateur authentifié ayant la permission de créer ou de modifier des workflows pouvait exploiter des expressions malveillantes dans les paramètres de workflow pour déclencher l'exécution de commandes système non désirées sur l'hôte exécutant n8n.
Détails :
- RCE (Remote Code Execution) : Exécution à distance de code. Cela signifie qu'un attaquant peut exécuter du code sur un serveur à distance.
- Versions affectées : 1.123.16 et antérieures, ainsi que toutes les versions précédentes à 2.5.2.
- Correction : Ce problème a été corrigé dans les versions 1.123.17 et 2.5.2.
Recommandations :
- Mettre à jour n8n vers les versions 1.123.17 ou 2.5.2 pour éviter cette vulnérabilité.
- Évaluer les permissions des utilisateurs pour limiter les risques d'exploits liés aux commandes système.
Posts / Sources (54)
CVE-2015-2051
The D-Link DIR-645 Wired/Wireless Router Rev. Ax with firmware 1.04b12 and earlier allows remote attackers to execute arbitrary commands via a GetDeviceSettings action to the HNAP interface.
Le routeur D-Link DIR-645 (versions Rev. Ax) avec le firmware 1.04b12 ou des versions antérieures présente une vulnérabilité. Voici les détails :
- Vulnérabilité : Les attaquants distants peuvent exécuter des commandes arbitraires sur le routeur.
- Point d'entrée : Cela se produit via une action GetDeviceSettings de l'interface HNAP (Home Network Administration Protocol).
- Conséquences : Cette faille permet un accès non autorisé, ce qui peut mener à des compromissions de la sécurité du réseau.
Définition des acronymes :
- RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant de faire exécuter des commandes sur un appareil cible à distance.
- HNAP : Protocole d’administration pour les appareils réseau, facilitant les interactions de gestion.
Les utilisateurs de ce routeur sont conseillés de mettre à jour leur firmware pour éviter toute exploitation de cette vulnérabilité.
Posts / Sources (971)
CVE-2017-18368
The ZyXEL P660HN-T1A v1 TCLinux Fw $7.3.15.0 v001 / 3.40(ULM.0)b31 router distributed by TrueOnline has a command injection vulnerability in the Remote System Log forwarding function, which is accessible by an unauthenticated user. The vulnerability is in the ViewLog.asp page and can be exploited through the remote_host parameter.
Le routeur ZyXEL P660HN-T1A v1 avec le firmware TCLinux $7.3.15.0 v001 / 3.40(ULM.0)b31, distribué par TrueOnline, présente une vulnérabilité d'injection de commandes. Voici les détails :
- Vulnérabilité : Injection de commandes (Command Injection)
- Fonction impactée : Fonction de transfert des journaux système à distance (Remote System Log forwarding)
- Accès : Cette vulnérabilité peut être exploitée par un utilisateur non authentifié.
- Page vulnérable : La page ViewLog.asp.
- Paramètre exploitable : Paramètre remote_host.
Explications des termes :
- Injection de commandes : Permet à un attaquant d'exécuter des commandes sur le système de la cible.
- Utilisateur non authentifié : Un utilisateur qui n’a pas besoin de se connecter pour accéder à la fonction vulnérable.
Cette faille pourrait être utilisée pour prendre le contrôle du routeur ou accéder à des informations sensibles, rendant ainsi le dispositif très vulnérable. Il est conseillé de mettre à jour le firmware ou d'appliquer des mesures de sécurité pour atténuer ce risque.
Posts / Sources (924)
CVE-2024-12847
NETGEAR DGN1000 before 1.1.00.48 is vulnerable to an authentication bypass vulnerability. A remote and unauthenticated attacker can execute arbitrary operating system commands as root by sending crafted HTTP requests to the setup.cgi endpoint. This vulnerability has been observed to be exploited in the wild since at least 2017 and specifically by the Shadowserver Foundation on 2025-02-06 UTC.
Vulnérabilité NETGEAR DGN1000 : Bypass d'authentification
Le modèle NETGEAR DGN1000, avant la version 1.1.00.48, présente une vulnérabilité d'authentification bypass. Cela signifie qu'un attaquant distant, qui n'est pas authentifié, peut exécuter des commandes arbitraires du système d'exploitation avec des privilèges root.
Détails de la vulnérabilité :
- Impact : exécution de commandes système non autorisées.
- Cible : le point de terminaison setup.cgi.
- Méthode d'attaque : envoi de requêtes HTTP spécialement conçues.
Historique :
- Cette vulnérabilité est connue depuis 2017.
- Elle a été exploitée dans la nature (par des attaquants réels) et signalée par la Shadowserver Foundation le 6 février 2025 (UTC).
Acronymes utiles :
- RCE (Remote Code Execution) : exécution à distance de code, permettant à un attaquant de contrôler le système.
- SSRF (Server-Side Request Forgery) : manipulation de requêtes côté serveur, exploitant un serveur pour accéder à d'autres ressources.
- XSS (Cross-Site Scripting) : injection de scripts malveillants dans des pages web vues par d'autres utilisateurs.
La mise à jour du firmware de votre appareil NETGEAR est fortement recommandée pour corriger cette vulnérabilité.
Posts / Sources (122)
CVE-2018-10562
An issue was discovered on Dasan GPON home routers. Command Injection can occur via the dest_host parameter in a diag_action=ping request to a GponForm/diag_Form URI. Because the router saves ping results in /tmp and transmits them to the user when the user revisits /diag.html, it's quite simple to execute commands and retrieve their output.
Problème de sécurité sur les routeurs Dasan GPON
-
Un problème a été découvert sur les routeurs Dasan GPON.
-
Injection de Commande (Command Injection) : Cette vulnérabilité permet à un attaquant d'exécuter des commandes arbitraires sur le système.
-
Le problème se produit via le paramètre dest_host dans une requête de diag_action=ping à l'URI
GponForm/diag_Form. -
Lorsque cette requête est effectuée, le routeur sauvegarde les résultats du ping dans le dossier
/tmp. -
Ces résultats sont ensuite renvoyés à l'utilisateur lorsqu'il revisite la page
/diag.html. -
Par conséquent, il est assez simple pour un attaquant d'exécuter des commandes et de récupérer leur sortie, compromettant ainsi la sécurité du routeur.
Acronymes :
- RCE : Remote Code Execution (Exécution de code à distance).
- SSRF : Server-Side Request Forgery (Usurpation de requête côté serveur).
- XSS : Cross-Site Scripting (Script intersite, permettant d'injecter des scripts malveillants).
Il est conseillé de mettre à jour les routeurs concernés pour éviter toute exploitation de cette vulnérabilité.
Posts / Sources (838)
CVE-2025-40551
SolarWinds Web Help Desk was found to be susceptible to an untrusted data deserialization vulnerability that could lead to remote code execution, which would allow an attacker to run commands on the host machine. This could be exploited without authentication.
Vulnérabilité dans SolarWinds Web Help Desk
- Produit concerné : SolarWinds Web Help Desk
- Type de vulnérabilité : Désérialisation de données non fiables
- Désérialisation : Processus de conversion d'une représentation de données (comme des fichiers ou des flux) en un objet utilisable dans le programme. Si cette donnée provient d'une source non fiable, cela peut être dangereux.
- Conséquence : Exécution de code à distance (RCE - Remote Code Execution)
- RCE : Permet à un attaquant d'exécuter des commandes sur la machine de la victime, ce qui peut compromettre le système.
- Conditions d'exploitation :
- Cette vulnérabilité peut être exploitée sans authentification, ce qui signifie qu'un attaquant n'a pas besoin d'être connecté pour en tirer profit.
Résumé : La vulnérabilité découverte dans SolarWinds Web Help Desk permet à des attaquants d’exécuter des instructions à distance sur le serveur, sans nécessiter d'identifiants. Cela représente un risque de sécurité majeur, car il pourrait faciliter l'accès non autorisé à des systèmes sensibles.
Posts / Sources (57)
CVE-2025-34036
An OS command injection vulnerability exists in white-labeled DVRs manufactured by TVT, affecting a custom HTTP service called "Cross Web Server" that listens on TCP ports 81 and 82. The web interface fails to sanitize input in the URI path passed to the language extraction functionality. When the server processes a request to /language/[lang]/index.html, it uses the [lang] input unsafely in a tar extraction command without proper escaping. This allows an unauthenticated remote attacker to inject shell commands and achieve arbitrary command execution as root. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-06 UTC.
Description de la vulnérabilité
Une vulnérabilité d'injection de commande OS existe dans les DVR (enregistreurs vidéo numériques) sous marque blanche fabriqués par TVT. Elle touche un service HTTP personnalisé appelé "Cross Web Server", qui écoute sur les ports TCP 81 et 82.
Détails de la vulnérabilité
- L'interface web ne vérifie pas correctement l'entrée dans le chemin URI pour la fonctionnalité d'extraction de langue.
- Lorsqu'une requête est envoyée à
/language/[lang]/index.html, le serveur utilise l'entrée[lang]de manière non sécurisée dans une commande d'extraction tar, sans correct échappement.
Risques
- RCE (Remote Code Execution) : Cela permet à un attaquant distant non authentifié d'injecter des commandes shell et d'exécuter des commandes arbitraires avec les privilèges de root.
Preuves d'exploitation
- L'exploitation de cette vulnérabilité a été observée par la Shadowserver Foundation le 6 février 2025 UTC.
Protégez-vous
- Mettez à jour vos appareils DVR concernés.
- Assurez-vous que toute entrée utilisateur est correctement validée et échappée.
Posts / Sources (91)
CVE-2026-25108
FileZen contains an OS command injection vulnerability. When FileZen Antivirus Check Option is enabled, a logged-in user may send a specially crafted HTTP request to execute an arbitrary OS command.
FileZen présente une vulnérabilité d'injection de commandes système (OS command injection). Voici les détails :
- Vulnérabilité : Injection de commandes système
- Produit concerné : FileZen
- CVE : (informations spécifiques à fournir si disponibles)
Explication de la vulnérabilité :
- Option de vérification antivirus de FileZen : Lorsqu'elle est activée, cette option permet à un utilisateur connecté d'envoyer une requête HTTP spécialement conçue.
- Grâce à cette requête, l'utilisateur peut exécuter une commande sur le système d'exploitation de manière arbitraire.
Concepts clés :
- Injection de commandes : Technique qui permet à un attaquant d'exécuter des commandes système via une application vulnérable.
- Utilisateurs connectés : Se réfère aux personnes ayant accès à l'application et pouvant potentiellement abuser de cette vulnérabilité.
Il est crucial de sécuriser cette partie de FileZen pour éviter que des utilisateurs malveillants n'exploitent cette vulnérabilité.
Posts / Sources (42)
CVE-2021-44228
Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. From version 2.16.0 (along with 2.12.2, 2.12.3, and 2.3.1), this functionality has been completely removed. Note that this vulnerability is specific to log4j-core and does not affect log4net, log4cxx, or other Apache Logging Services projects.
Vulnérabilité Apache Log4j2 : CVE-2021-44228
Apache Log4j2 version 2.0-beta9 à 2.15.0 (à l'exception des versions de sécurité 2.12.2, 2.12.3, et 2.3.1) présente une vulnérabilité liée aux fonctions JNDI (Java Naming and Directory Interface). Ces fonctionalités dans la configuration, les messages de journalisation (log) et les paramètres ne protègent pas contre les points de terminaison JNDI contrôlés par un attaquant.
- Un attaquant pouvant contrôler les messages de log ou leurs paramètres peut exécuter du code arbitraire chargé depuis des serveurs LDAP (Lightweight Directory Access Protocol) lorsque la substitution des messages est activée. Ce type d'attaque est connu sous le nom de RCE (Remote Code Execution).
- À partir de la version 2.15.0, ce comportement est désactivé par défaut.
- À partir de la version 2.16.0 (accompagnée des versions 2.12.2, 2.12.3, et 2.3.1), cette fonctionnalité a été complètement supprimée.
Remarque : Cette vulnérabilité concerne spécifiquement log4j-core et n'affecte pas log4net, log4cxx, ou d'autres projets de services de logging d'Apache.
Posts / Sources (615)
CVE-2017-9841
Util/PHP/eval-stdin.php in PHPUnit before 4.8.28 and 5.x before 5.6.3 allows remote attackers to execute arbitrary PHP code via HTTP POST data beginning with a "<?php " substring, as demonstrated by an attack on a site with an exposed /vendor folder, i.e., external access to the /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php URI.
L'outil PHPUnit, dans les versions antérieures à 4.8.28 et 5.x avant 5.6.3, présente une vulnérabilité qui permet à des attaquants distants d'exécuter du code PHP arbitraire. Cette exploitation peut se faire via des données HTTP POST commençant par la chaîne "<?php ".
Détails de la vulnérabilité :
- CVE : Cette vulnérabilité est identifiée par un identifiant CVE (Common Vulnerabilities and Exposures), mais il n'est pas précisé ici.
- Impact : L'exposition du dossier /vendor sur un serveur permet aux attaquants d'accéder à l'URI /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php, facilitant ainsi l'exécution non autorisée de code.
Concepts importants :
- RCE (Remote Code Execution) : Exécution de code à distance, où un attaquant peut exécuter des commandes sur un serveur.
- HTTP POST : Méthode utilisée pour envoyer des données au serveur. Dans ce cas, elle est exploitée pour introduire du code malveillant.
Conclusion :
Il est crucial de mettre à jour PHPUnit vers les versions sécurisées pour éviter les attaques potentielles et s'assurer que le dossier /vendor n'est pas accessible publiquement.