CVE-2025-9491

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-8110 [CVSS 8.7 🟧] [VLAI High 🟧] Produit : Gogs Gogs Score CVSS : 8.7 🟧 EPSS : 0.00082 🟩 VLAI : High 🟧 Poids social (Fediverse) : 1837.0 Description : Mauvaise gestion des liens symboliques dans l’API PutContents de Gogs permettant l’exécution locale de code. Date de publication officielle : 10 December 2025 à 13h23 Posts Fediverse (16 trouvés) 🗨️ cR0w h0 h0 – n/d EITW ../ 0day in Gogs.http://wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit ...

Selon Next INpact, Microsoft a corrigé en novembre (Patch Tuesday) CVE-2025-9491, un problème lié aux fichiers LNK que l’éditeur ne considérait pas comme une vulnérabilité, bien qu’il ait été activement exploité depuis 2017. 🧩 Nature de la vulnérabilité: les fichiers .LNK permettent jusqu’à 32 000 caractères dans le champ Target, mais l’interface Windows n’en affichait que 260 dans la boîte de dialogue Propriétés. Des attaquants pouvaient ainsi cacher des commandes malveillantes au-delà de cette limite, en usant d’espaces et d’obfuscation, rendant l’artefact trompeur lors d’une simple inspection visuelle. Le correctif modifie l’UI pour afficher l’intégralité de la commande Target, quelle que soit sa longueur. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-9491 [CVSS 7.0 🟧] [VLAI High 🟧] Produit : Microsoft Windows Score CVSS : 7.0 🟧 EPSS : 0.00231 🟩 VLAI : High 🟧 Poids social (Fediverse) : 874.0 Description : Vulnérabilité d’exécution de code à distance due à une mauvaise représentation de l’interface utilisateur des fichiers LNK sous Microsoft Windows. Cette vulnérabilité permet à des attaquants distants d’exécuter du code arbitraire sur les installations affectées de Microsoft Windows. Une interaction de l’utilisateur est requise pour exploiter cette vulnérabilité, en ce sens que la cible doit visiter une page malveillante ou ouvrir un fichier malveillant. La faille spécifique réside dans le traitement des fichiers .LNK. Des données spécialement conçues dans un fichier .LNK peuvent rendre un contenu dangereux invisible à un utilisateur qui inspecte le fichier via l’interface utilisateur fournie par Windows. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte de l’utilisateur courant. Identifiée sous la référence ZDI-CAN-25373. ...