CVE-2025-5397

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-9491 [CVSS 7.0 🟧] [VLAI High 🟧] Produit : Microsoft Windows Score CVSS : 7.0 🟧 EPSS : 0.00231 🟩 VLAI : High 🟧 Poids social (Fediverse) : 874.0 Description : Vulnérabilité d’exécution de code à distance due à une mauvaise représentation de l’interface utilisateur des fichiers LNK sous Microsoft Windows. Cette vulnérabilité permet à des attaquants distants d’exécuter du code arbitraire sur les installations affectées de Microsoft Windows. Une interaction de l’utilisateur est requise pour exploiter cette vulnérabilité, en ce sens que la cible doit visiter une page malveillante ou ouvrir un fichier malveillant. La faille spécifique réside dans le traitement des fichiers .LNK. Des données spécialement conçues dans un fichier .LNK peuvent rendre un contenu dangereux invisible à un utilisateur qui inspecte le fichier via l’interface utilisateur fournie par Windows. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte de l’utilisateur courant. Identifiée sous la référence ZDI-CAN-25373. ...

BleepingComputer rapporte que des pirates exploitent activement une vulnérabilité critique dans le thème WordPress premium JobMonster (NooThemes), observée par Wordfence qui a bloqué de multiples tentatives au cours des dernières 24 heures. ⚠️ Vulnérabilité: CVE-2025-5397 (score de sévérité 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problème provient de la fonction check_login() qui ne vérifie pas correctement l’identité de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2. ...