Cve-2017-18368

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2025-12-01 → 2026-01-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2025-55182 CVSS: 10.0 VLAI: Critical (confidence: 0.9804) CISA: KEV ProduitMeta — react-server-dom-webpack; Meta — react-server-dom-turbopack; Meta — react-server-dom-parcel Publié2025-12-03T15:40:56.894Z 💬 La vulnérabilité **CVE-2025-55182** est une **exécution de code à distance (RCE)** exploitable **avant authentification** dans **React Server Components** versions **19.0.0, 19.1.0, 19.1.1 et 19.2.0**. Elle concerne notamment les paquets **react-server-dom-parcel**, **react-server-dom-turbopack** et **react-server-dom-webpack**. Le problème vient d’un traitement **non sécurisé de la désérialisation** : le code vulnérable **désérialise de manière dangereuse** des charges utiles (payloads) provenant de **requêtes HTTP** envoyées vers des **endpoints de “Server Function”**. Un attaquant distant peut ainsi fournir un payload spécialement conçu pour déclencher une **RCE**. Explications des termes ...

Période analysée : les 7 derniers jours (Fediverse/Bluesky) (2025-12-22 → 2025-12-29). Données collectées via Vulnerability-Lookup (https://vulnerability.circl.lu) et enrichies avec EPSS (FIRST) / VLAI (CIRCL). 📌 Légende : CVSS — Score de sévérité officiel, EPSS — Probabilité d’exploitation (FIRST), VLAI — Estimation IA de sévérité (label + confiance si dispo), CISA KEV — Vulnérabilité connue comme exploitée (catalogue CISA), Sightings — Citations/observations (vu, PoC public, exploité, corrigé…). CVE-2025-14847 CVSS: 7.5 EPSS: 0.04% VLAI: High (confidence: 0.9800) CISA: KEV ProduitMongoDB Inc. MongoDB Server Publié2025-12-19 11:00:22 💬 Une vulnérabilité a été identifiée dans les en-têtes du protocole compressé Zlib, qui pourrait permettre à un client non authentifié de lire de la mémoire non initialisée sur le tas (heap). Cela signifie qu'un attaquant pourrait potentiellement accéder à des données sensibles qui n'ont pas été correctement sécurisées. Cette vulnérabilité concerne toutes les versions de MongoDB Server 7.0 antérieures à la version 7.0.28, ainsi que les versions 8.0 avant 8.0.17, 8.2 avant 8.2.3, 6.0 avant 6.0.27, 5.0 avant 5.0.32, 4.4 avant 4.4.30, et les versions 4.2, 4.0 et 3.6 à partir de leurs premières versions respectives (4.2.0, 4.0.0 et 3.6.0). ...