2FA

Source: RainPwn (blog). Le billet présente une analyse technique de CVE-2025-9133 affectant les appliances Zyxel ATP/USG, montrant comment le CGI zysh-cgi autorise un contournement d’autorisation durant la vérification 2FA, exposant la configuration système. • Vulnérabilité: bypass d’autorisation dans le flux 2FA via zysh-cgi, dû à une validation par préfixe (strncmp) des commandes et l’absence de tokenisation. En chaînant des commandes avec «;», un utilisateur partiellement authentifié peut exécuter des commandes non autorisées comme show running-config, malgré une allowlist restrictive pour le profil usr_type 0x14. ...

Selon BleepingComputer, six gestionnaires de mots de passe très répandus présentent des vulnérabilités de type clickjacking qui ne sont pas encore corrigées. Lors de la conférence de cybersécurité DEF CON 33, le chercheur indépendant Marek Tóth a mis en lumière une faille critique touchant plusieurs gestionnaires de mots de passe populaires, pouvant exposer les identifiants, codes 2FA et informations bancaires de dizaines de millions d’utilisateurs. Selon BleepingComputer, six applications largement utilisées – dont 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass et LogMeOnce – sont vulnérables à une technique de type clickjacking. ...