CVE-2025-10573

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-8110 [CVSS 8.7 🟧] [VLAI High 🟧] Produit : Gogs Gogs Score CVSS : 8.7 🟧 EPSS : 0.00082 🟩 VLAI : High 🟧 Poids social (Fediverse) : 1837.0 Description : Mauvaise gestion des liens symboliques dans l’API PutContents de Gogs permettant l’exécution locale de code. Date de publication officielle : 10 December 2025 à 13h23 Posts Fediverse (16 trouvés) 🗨️ cR0w h0 h0 – n/d EITW ../ 0day in Gogs.http://wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit ...

Selon BleepingComputer, Ivanti alerte sur une vulnérabilité critique dans son produit Endpoint Manager (EPM), identifiée comme CVE-2025-10573, permettant à un attaquant non authentifié d’exécuter du JavaScript via une attaque XSS avec interaction minimale de l’utilisateur. 🚨 Détails de la faille: la vulnérabilité peut être exploitée par des acteurs distants et non authentifiés pour empoisonner le tableau de bord administrateur. D’après le chercheur de Rapid7 Ryan Emmons (découvreur de la faille en août), un attaquant pouvant accéder au service web principal d’EPM peut enregistrer de faux endpoints gérés afin d’injecter du JavaScript malveillant. Lorsque l’administrateur EPM affiche un tableau de bord contaminé, l’exécution de JavaScript côté client est déclenchée, permettant à l’attaquant de prendre le contrôle de la session administrateur. ...