Dans le noyau Linux, la vulnérabilité suivante a été corrigée :

• crypto: algif_aead - Retour à un fonctionnement hors place.
• Cette correction revient principalement sur le commit 72548b093ee3, à l'exception de la copie des données associées.
• Il n'y a pas d'avantage à fonctionner en place dans algif_aead, car la source et la destination proviennent de mappages différents.

Explications :

• Noyau Linux : C'est le cœur du système d'exploitation Linux, gérant le matériel et les ressources système.
• algif_aead : C'est un algorithme utilisé pour le chiffrement des données.
• Hors place : Cela signifie manipuler les données dans un emplacement mémoire distinct, évitant ainsi des conflits.
• In-place : Faire des modifications dans le même emplacement mémoire, ce qui peut causer des problèmes de sécurité et de performance.

Cette correction simplifie le processus en supprimant la complexité liée aux opérations en place, permettant une copie directe des données associées.

Vulnérabilité cPanel et WHM

Versions concernées : cPanel et WHM après 11.40.

• Vulnérabilité : Cette faille permet un contournement de l'authentification dans le processus de connexion.
• Implication : Des attaquants distants (sans authentification) peuvent accéder de manière non autorisée au panneau de contrôle.

Détails sur les termes :

• cPanel : Un logiciel qui permet de gérer un hébergement web.
• WHM (Web Host Manager) : Outil associé à cPanel, utilisé pour la gestion des serveurs.
• Contournement de l'authentification : Une méthode permettant à un utilisateur non autorisé d'accéder à un système sans fournir les informations d'identification nécessaires.

Risque

Cette vulnérabilité expose les systèmes à des attaques potentielles, compromettant les données et la sécurité des serveurs. Il est conseillé de mettre à jour vers la dernière version pour éviter les risques associés.

NGINX Plus et NGINX Open Source présentent une vulnérabilité dans le module ngx_http_rewrite_module. Voici les détails :

• Contexte de la vulnérabilité :
• Cette vulnérabilité se manifeste lorsque la directive rewrite est suivie d'une directive rewrite, if ou set.

• Elle concerne l'utilisation d'une expression régulière Perl-Compatible (PCRE) sans nom (comme $1, $2) dans une chaîne de remplacement contenant un caractère point d'interrogation (?).

• Impact potentiel :

• Un attaquant non authentifié peut exploiter cette vulnérabilité en envoyant des requêtes HTTP spécialement conçues.

• Cela peut provoquer un débordement de tampon dans la mémoire (heap buffer overflow) dans le processus de travail de NGINX, entraînant un redémarrage.

• Conditions spécifiques :

• Les systèmes avec ASLR (Address Space Layout Randomization) désactivé, ou lorsque l'attaquant peut contourner cette protection, sont particulièrement vulnérables, permettant l'exécution de code malveillant.

• Note importante :

• Les versions de software qui ont atteint la Fin du Support Technique (EoTS) ne sont pas évaluées pour cette vulnérabilité.

Faites preuve de prudence et mettez à jour vos systèmes pour éviter les exploits.

Dans le noyau Linux, une vulnérabilité a été corrigée concernant xfrm (un sous-système permettant le traitement des paquets IP). Voici un résumé explicatif :

• Nom de la vulnérabilité : Problème de déchiffrement en place sur des fragments de skb (socket buffer) partagés.
• MSG_SPLICE_PAGES : Permet d'attacher des pages provenant d'un tuyau (pipe) directement à un skb.
• SKBFL_SHARED_FRAG : Un marqueur indiquant que des fragments de skb sont partagés.
• Les paquets ESP-in-UDP (encapsulation de sécurité dans UDP) et leur traitement n'établissaient pas correctement ce marqueur lors de l'intégration des pages, ce qui pouvait entraîner une décryption incorrecte.
• La décryption pouvait ainsi se faire sur des données non privées, ce qui posait un risque de sécurité.

Les correctifs apportés : - Marquer les fragments IPv4/IPv6 lors de l’intégration avec le SKBFL_SHARED_FRAG, comme pour TCP. - Faire en sorte que le traitement des paquets ESP utilise skb_cow_data() pour éviter la décryption en place sur des fragments extérieurs.

Note : Les fragments privés continuent d’utiliser le chemin rapide existant, et les sorties de ESP ne sont pas affectées par ce changement, maintenant la sécurité des données traitées.

Traduction et explication de la vulnérabilité

Une vulnérabilité de dépassement de tampon (buffer overflow) a été identifiée dans le service User-ID™ Authentication Portal (également connu sous le nom de Captive Portal) du logiciel PAN-OS de Palo Alto Networks.

Détails de la vulnérabilité :

• Impact : Permet à un attaquant non authentifié d'exécuter du code arbitraire avec des privilèges root sur les pare-feu PA-Series et VM-Series en envoyant des paquets spécialement conçus.
• Réduction du risque : Le risque de cette vulnérabilité peut être considérablement diminué en sécurisant l'accès au User-ID™ Authentication Portal selon les recommandations de meilleures pratiques. Cela implique de restreindre l'accès uniquement aux adresses IP internes de confiance.
• Produits non impactés : Les appareils Prisma Access, Cloud NGFW, et Panorama ne sont pas affectés par cette vulnérabilité.

Acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance, un type de vulnérabilité permettant à un attaquant d'exécuter du code sur un système distant.
• SSRF (Server-Side Request Forgery) : Manipulation du serveur pour effectuer des requêtes vers d'autres services.
• XSS (Cross-Site Scripting) : Type de vulnérabilité qui permet d'injecter des scripts malveillants dans des pages web visualisées par d'autres utilisateurs.

Analyse de la vulnérabilité :

• Type de vulnérabilité : Mauvaise neutralisation des entrées lors de la génération de pages web, également connue sous le nom de cross-site scripting (XSS).

• Produit concerné : Microsoft Exchange Server.

• Conséquences : Un attaquant non autorisé peut réaliser des actes de spoofing (usurpation d’identité) sur un réseau.

Explications :

• Cross-Site Scripting (XSS) : C'est une vulnérabilité qui permet à un attaquant d'injecter des scripts malveillants dans des pages web visualisées par d'autres utilisateurs. Cela peut conduire au vol de données sensibles ou à la prise de contrôle de sessions utilisateurs.

• Spoofing : Cela fait référence à l'acte de se faire passer pour une autre personne ou service, dans le but d'accéder à des informations protégées ou de réaliser des actions non autorisées.

Remarques :

• Il est crucial de garantir une bonne gestion et validation des entrées utilisateur lors de la création de pages web pour éviter de telles vulnérabilités.

• La mise à jour régulière des systèmes et l'application des correctifs de sécurité sont essentielles pour protéger les données.

Plusieurs plugins et/ou thèmes pour WordPress présentent une vulnérabilité de Reflected Cross-Site Scripting (XSS) via le paramètre url dans différentes versions, en raison d'une insuffisante sanitisation des entrées et d'un manque d'échappement des sorties. Voici les détails :

• XSS Reflected : Ce type de vulnérabilité permet à un attaquant de injecter des scripts web malveillants qui s'exécutent sur le navigateur d'un utilisateur lorsqu'il interagit avec un lien spécialement conçu.
• Sanitisation des entrées : C’est le processus de validation et de nettoyage des données fournies par l’utilisateur avant de les traiter.
• Échappement des sorties : Cela consiste à traiter les données avant de les afficher pour éviter l'exécution de scripts malveillants sur le navigateur de l’utilisateur.

Cette vulnérabilité permet à des attaquants non authentifiés d’injecter des scripts arbitraires sur des pages, si l'utilisateur est dupé en cliquant sur un lien piégé. Les administrateurs de WordPress doivent donc veiller à mettre à jour leurs plugins et thèmes pour se protéger contre ce type d'attaque.

Dans le noyau Linux, une vulnérabilité a été résolue : rxrpc. Voici un résumé de cette correction :

• Problème identifié : Les gestionnaires de paquets DATA dans la fonction rxrpc_input_call_event() et de RESPONSE dans rxrpc_verify_response() ne clonaient les paquets skb (socket buffer) que si skb_cloned() était vrai.

• Situation : Un skb non cloné mais contenant des fragments paginés externes (par exemple, un fragment partagé par splice() dans un socket UDP) pouvait être décrypté de manière inappropriée, ce qui pourrait introduire des failles de sécurité.

• Solution apportée : La logique a été étendue pour s'assurer que le paquet soit également dé-cloné lorsque skb_has_frag_list() ou skb_has_shared_frag() sont vrais. Cela permet de traiter les vecteurs de boucle de splice et d'autres sources de fragments partagés tout en préservant le chemin d’accès rapide sans copie (zero-copy) pour les skbs dont les fragments sont privés au noyau.

• Bénéfice : Cette correction améliore la sécurité en empêchant les accès non autorisés tout en maintenant la performance du système. La gestion des mémoires insuffisantes (OOM) et le traçage déjà en place sont réutilisés.

Acronymes :

• RCE : Remote Code Execution (Exécution de code à distance)
• SSRF : Server-Side Request Forgery (Falsification de requête côté serveur)
• XSS : Cross-Site Scripting (Script intersite)

Vulnérabilités de contournement d'authentification dans GlobalProtect

Des vulnérabilités de contournement d'authentification ont été découvertes dans le portail et la passerelle GlobalProtect du logiciel PAN-OS® de Palo Alto Networks. Ces failles permettent à un attaquant de :

• Contourner les restrictions de sécurité.
• Établir une connexion VPN non autorisée.

Produits concernés

• GlobalProtect : Une solution VPN qui sécurise les connexions des utilisateurs.
• PAN-OS® : Système d'exploitation utilisé pour les pare-feux et les solutions de sécurité de Palo Alto.

Produits non impactés

Les produits suivants ne sont pas touchés par ces vulnérabilités :

• Panorama : Outil de gestion centralisée pour les dispositifs de sécurité de Palo Alto.
• Cloud NGFW : Pare-feu de nouvelle génération basé sur le cloud.

Conclusion

Il est crucial pour les administrateurs de sécurité de mettre à jour leurs systèmes pour se protéger contre ces risques d'accès non autorisé.

Mai 2026 : Cet avis de sécurité fournit des détails et des informations sur la correction d'une vulnérabilité découverte et corrigée après sa divulgation en février 2026. Ce nouvel avis concerne une vulnérabilité dans le processus de vérification des connexions de contrôle. Cette section de l'avis inclut des conseils sur les connexions de contrôle pour aider aux vérifications du système.

• Produit concerné :
• Cisco Catalyst SD-WAN Controller (anciennement SD-WAN vSmart)

• Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage)

• Vulnérabilité :

• Cette vulnérabilité dans l'authentification de pair (peering authentication) permettrait à un attaquant distant et non authentifié de contourner l'authentification et d'obtenir des privilèges administratifs sur un système affecté.

• Cause :

• Le mécanisme d'authentification ne fonctionne pas correctement.

• Exploitation :

• Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes conçues à cet effet vers le système affecté. Un exploit réussi permettrait à l'attaquant de se connecter au Cisco Catalyst SD-WAN Controller en tant qu'utilisateur interne disposant de privilèges élevés, mais non-root.

• Conséquences :

• Avec ce compte, l'attaquant pourrait accéder à NETCONF, un protocole de gestion de configuration, lui permettant de manipuler la configuration du réseau pour le SD-WAN.

Ce type de vulnérabilité peut avoir des conséquences graves sur la sécurité et la stabilité des réseaux en SD-WAN.

Vulnérabilité d'Injection SQL dans Drupal

Une vulnérabilité d'Injection SQL (CVE non spécifiée ici) dans le noyau de Drupal permet l'injection de commandes SQL. Voici les principaux points à retenir :

• Injection SQL : Cela signifie qu'un attaquant peut manipuler des requêtes SQL pour accéder ou modifier des données dans la base de données de l'application.

• Produits affectés :

• Drupal core : versions de 8.9.0 avant 10.4.10
• Drupal core : versions de 10.5.0 avant 10.5.10
• Drupal core : versions de 10.6.0 avant 10.6.9
• Drupal core : versions de 11.0.0 avant 11.1.10
• Drupal core : versions de 11.2.0 avant 11.2.12
• Drupal core : versions de 11.3.0 avant 11.3.10

Conséquences :

Une exploitation réussie peut permettre à un attaquant de : - Accéder à des données sensibles - Exécuter des commandes arbitraires sur le serveur

Recommandations :

• Mettre à jour vers les versions corrigées de Drupal pour se protéger contre cette vulnérabilité.

Protégez votre site en vérifiant votre version de Drupal et en appliquant les mises à jour nécessaires.

Vulnérabilité "Double Free" et possible RCE dans Apache HTTP Server

Une vulnérabilité a été identifiée dans le serveur HTTP Apache avec le protocole HTTP/2. Cette vulnérabilité est classée comme un problème de "double free", ce qui signifie que deux tentatives de libération de mémoire ont lieu par erreur, ce qui peut conduire à une exploitation.

Détails de la vulnérabilité :

• Produit concerné : Apache HTTP Server
• Version affectée : 2.4.66
• Version de correctif : 2.4.67

Risques associés :

• RCE (Remote Code Execution) : Cette vulnérabilité pourrait permettre à un attaquant d'exécuter du code à distance sur le serveur, ce qui pourrait compromettre la sécurité du système.

Recommandation :

• Mettre à jour votre serveur Apache HTTP vers la version 2.4.67 pour remédier à cette vulnérabilité.

Acronymes expliqués :

• RCE : Exécution de code à distance (Remote Code Execution) - permet à un attaquant d'exécuter des instructions sur un serveur à partir de son propre système.
• HTTP/2 : Une version améliorée du protocole HTTP, offrant de meilleures performances et des fonctionnalités avancées.

Vulnérabilité Résolue dans le Noyau Linux

Une vulnérabilité a été corrigée dans le noyau Linux, concernée par la logique de get_dumpable(). Cette fonction détermine la 'dumpabilité' d'une tâche, c'est-à-dire la possibilité de capturer l'image mémoire d'un processus pour un "core dump". Cette notion n’a pas de sens lorsqu'il n’existe pas de gestion de mémoire associée (mm).

Détails Techniques

• ptrace_may_access() : Utilisé pour vérifier l'accès à différents éléments indépendamment de la gestion de mémoire. Cela concerne même des threads qui n'ont plus de gestion de mémoire, comme de nombreux threads du noyau.

• UID/GID : Le code de ptrace vérifie que l'identifiant utilisateur (uid) et l'identifiant de groupe (gid) correspondent. Vous devez avoir un uid-0 (administrateur) pour accéder aux détails des threads du noyau.

• CAP_SYS_PTRACE : Une capacité nécessaire pour contrôler l'accès, même si le modèle de "suppression des capacités" traditionnel ne modifie pas ce comportement.

Conclusion

La mise à jour clarifie que si un thread n’a pas de pointeur de gestion de mémoire, le système utilisera un indicateur de dumpabilité récémé en cache, mais requiert toujours une capacité valide pour les cas de contournement.

Analyse de la vulnérabilité CVE

• Produit concerné : Ivanti EPMM (Enterprise Policy Management Mobile)
• Versions affectées : Avant les versions 12.6.1.1, 12.7.0.1, et 12.8.0.1

Description de la vulnérabilité

• Validation des entrées inappropriée :
• Cela signifie que l'application ne vérifie pas correctement les données fournies par l'utilisateur. Des validations insuffisantes peuvent permettre à un attaquant de soumettre des données malveillantes.

Impact

• Exécution de code à distance (RCE) :
• Un utilisateur authentifié, mais disposant d'un accès administratif, peut exécuter des commandes malveillantes sur le serveur à distance. Cela peut compromettre la sécurité de l'ensemble du système.

Résumé des acronymes

• RCE (Remote Code Execution) : Capacité de faire exécuter du code sur un serveur distant, ce qui peut entraîner une compromission totale du système.
• Input Validation : Processus d'examen et de filtrage des données entrantes pour prévenir les attaques.

Recommandations

• Mettre à jour :
• Il est impératif de mettre à jour Ivanti EPMM vers les versions non affectées pour corriger cette vulnérabilité et protéger votre système contre les menaces potentielles.

Ghost est un système de gestion de contenu développé avec Node.js. Les versions de 3.24.0 à 6.19.0 présentent une vulnérabilité qui permet aux attaquants non authentifiés d'effectuer des lectures arbitraires depuis la base de données. Cela signifie qu'un utilisateur malveillant peut accéder à des informations sensibles stockées dans la base de données sans avoir besoin de se connecter.

Cette vulnérabilité a été corrigée dans la version 6.19.1.

Termes clés :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes malveillantes sur un serveur.
• SSRF (Server-side Request Forgery) : Technique qui permet à un attaquant d'envoyer des requêtes depuis le serveur à d'autres ressources, souvent pour contourner des restrictions de sécurité.
• XSS (Cross-Site Scripting) : Vulnérabilité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web visionnées par d'autres utilisateurs.

Il est crucial de mettre à jour vers la version 6.19.1 pour assurer la sécurité des données exposées.

Vulnérabilité résolue dans le noyau Linux

Une vulnérabilité a été corrigée concernant le noyau Linux, plus précisément liée à la gestion des fragments de données dans les buffers de sockets (skbuff). Voici les détails :

• Contexte : Lors de la tentative de coalescence (fusion) de buffers de sockets via skb_try_coalesce(), des fragments paginés peuvent être transférés de @from à @to.
• Problème : Si @from a le marqueur SKBFL_SHARED_FRAG activé, le buffer @to résultant peut contenir les mêmes fragments appartenant à l'extérieur ou gérés par le cache de pages, mais le marqueur de fragments partagés est perdu. Cela perturbe les vérifications réalisées par certains processus ultérieurs.
• Impact : En particulier, le système ESP (Encapsulating Security Payload), qui vérifie la présence de fragments partagés via skb_has_shared_frag(), pourrait mal interpréter la situation. Cela pourrait permettre à des données non sécurisées de se mélanger avec des données protégées, compromettant ainsi la sécurité.
• Solution : Il est maintenant nécessaire de propager le marqueur SKBFL_SHARED_FRAG lorsque skb_try_coalesce() transfère des fragments paginés.

Acronymes

• RCE : Remote Code Execution (Exécution de code à distance)
• SSRF : Server-Side Request Forgery (Usurpation de requêtes côté serveur)
• XSS : Cross-Site Scripting (Script inter-sites)

Cette correction améliore la sécurité des transferts de données dans le noyau Linux.

Traduction et Explication

• Vulnérabilité : La désérialisation de données non fiables dans Microsoft Office SharePoint.
• Impact : Permet à un attaquant autorisé d'exécuter du code sur un réseau.

Concepts clés

• Désérialisation : Processus de conversion de données en un format exploitable. Lorsque des données non fiables sont désérialisées, cela peut permettre à un attaquant d'introduire du code malveillant.
• Attaquant autorisé : Un utilisateur disposant déjà de certains accès au système, ce qui rend l'exploitation de la vulnérabilité plus critique.
• Exécution de code à distance (RCE) : Capacité d'un attaquant à exécuter du code malveillant sur un système cible à distance. Cela pose de grands risques pour la sécurité.

Résumé

Cette vulnérabilité dans Microsoft Office SharePoint expose le système à des attaques où un utilisateur avec des permissions pourrait exécuter un code malveillant, compromettant ainsi la sécurité du réseau. Il est crucial de corriger cette vulnérabilité pour protéger les données et les ressources du réseau.

Dans la fonction adbd_tls_verify_cert du fichier auth.cpp, une possible bypass de l'authentification mutuelle sans fil ADB (Android Debug Bridge) est due à une erreur de logique dans le code. Cela pourrait permettre une exécution de code à distance (RCE), où un attaquant pourrait exécuter du code comme l'utilisateur shell, sans nécessiter de privilèges d'exécution supplémentaires. De plus, aucune interaction de l'utilisateur n'est requise pour exploiter cette vulnérabilité.

Concepts clés :

• ADB (Android Debug Bridge) : Outil de ligne de commande permettant d'interagir avec un appareil Android.
• RCE (Remote Code Execution) : Exécution de code malveillant à distance sur un système cible.
• Logic Error : Une erreur dans le code qui peut conduire à un comportement incorrect et à des vulnérabilités de sécurité.

Risques associés :

• Accès non autorisé à l'appareil.
• Exécution de commandes malveillantes sans le consentement de l'utilisateur.

Il est important de mettre à jour les systèmes concernés pour corriger cette vulnérabilité.

La vulnérabilité du routeur ZyXEL P660HN-T1A v1 TCLinux Fw $7.3.15.0 v001 / 3.40(ULM.0)b31 distribué par TrueOnline concerne l'injection de commandes. Voici les détails clés :

• Vulnérabilité : Injection de commandes (Command Injection).
• Fonction concernée : La fonction de redirection des journaux système à distance (Remote System Log forwarding).
• Accessibilité : Cette vulnérabilité peut être exploitée par un utilisateur non authentifié.
• Page impliquée : La page ViewLog.asp, qui gère l'affichage des journaux.
• Paramètre exploité : Le paramètre remote_host peut être utilisé pour effectuer l'attaque.

Explications :

• Injection de commandes : C'est une vulnérabilité permettant à un attaquant d'exécuter des commandes arbitraires sur le système vulnérable en utilisant les champs de saisie.
• Utilisateur non authentifié : Cela signifie qu'aucune connexion ni authentification spécifique n'est requise pour exploiter la vulnérabilité.

Cette situation pose un risque élevé car elle permet à un acteur malveillant d'accéder et de potentiellement contrôler le routeur à distance.

Vulnérabilité « YellowKey » dans Windows

Microsoft a identifié une vulnérabilité permettant de contourner des fonctionnalités de sécurité dans Windows, communément appelée « YellowKey ». Les détails de cette vulnérabilité ont été rendus publics, ce qui enfreint les meilleures pratiques de divulgation des vulnérabilités. Un CVE (Common Vulnerabilities and Exposures) a été émis pour fournir des recommandations d'atténuation jusqu'à ce qu'une mise à jour de sécurité soit disponible.

Questions fréquentes sur l’atténuation

• Dois-je utiliser l'atténuation temporaire ?

• Microsoft recommande d'envisager ces atténuations si vous craignez que vos appareils et vos données soient à risque, par exemple si vos employés utilisent leurs appareils de travail à domicile ou en voyage d'affaires.

• Quel impact sur la disponibilité des services ?

• L'implémentation de ces atténuations n'affectera pas la disponibilité des services ni les opérations de gestion.

• Dois-je annuler les changements après la mise à jour de sécurité ?

• Non. La mise à jour de sécurité conservera le comportement de l'atténuation une fois installée.

• J’utilise TPM+PIN, puis-je être exposé ?

• Non, si vous utilisez TPM (Trusted Platform Module) + PIN, la vulnérabilité n'est pas exploitable.

Acronymes utiles

• CVE : Common Vulnerabilities and Exposures, un système de référence pour les vulnérabilités.
• TPM : Trusted Platform Module, un chip pour sécuriser des équipements informatiques.
• PIN : Personal Identification Number, un code personnel pour l'authentification.