Désérialisation

Selon Picus Security, Microsoft a publié un correctif hors bande pour CVE-2025-59287, une vulnérabilité critique d’exécution de code à distance affectant Windows Server Update Services (WSUS), déjà exploitée dans la nature. Nature de la faille: désérialisation .NET non sécurisée dans la méthode Microsoft.UpdateServices.Internal.Authorization.EncryptionHelper.DecryptData() qui appelle BinaryFormatter.Deserialize() sur des données d’AuthorizationCookie contrôlables par l’utilisateur, sans validation de type. Impact: RCE avec privilèges SYSTEM de manière non authentifiée via des requêtes SOAP malveillantes envoyées aux services web de reporting WSUS. Produits/Composants concernés: WSUS (ports par défaut 8530/8531), endpoint /ClientWebService/Client.asmx (méthode GetCookie). Technique d’exploitation (résumé) 🚨: ...

Source: Searchlight Cyber (slcyber.io). Contexte: billet de recherche technique de Tomais Williamson analysant CVE-2025-54236 (« SessionReaper ») dans Magento/Adobe Commerce, son patch, et un enchaînement d’exploitation conduisant à une exécution de code à distance non authentifiée sur certaines configurations. • Nature de la faille: bypass de fonctionnalité de sécurité menant à une désérialisation imbriquée dans l’API Web de Magento. Adobe qualifie l’issue de « security feature bypass », mais la recherche montre un impact critique: RCE sur les instances utilisant un stockage de session basé sur fichiers; des configurations non-fichier (ex. Redis) peuvent aussi être concernées mais différemment. ...

Selon watchTowr Labs, une exploitation « in the wild » de CVE-2025-10035 visant Fortra GoAnywhere MFT est confirmée, en contradiction avec le récit du fournisseur. L’exploitation a débuté plusieurs jours avant l’avis public de l’éditeur. ⚠️ Le vecteur est une vulnérabilité de désérialisation pré-auth permettant une exécution de code à distance (RCE). Les attaquants ont ensuite mis en place des mécanismes de persistance et d’effacement de traces, illustrant une chaîne post-exploitation sophistiquée. Le billet souligne que les organisations doivent immédiatement évaluer un éventuel compromis et engager leurs protocoles d’intervention. ...

Selon VulnCheck (référence fournie), Fortra a divulgué CVE-2025-10035, une vulnérabilité critique de désérialisation dans GoAnywhere MFT (score CVSS 10) permettant l’exécution de commandes via le servlet de licence. Le produit a déjà été ciblé par des groupes de ransomware comme Cl0p. 🚨 Détails clés: La faille permet à un attaquant distant, muni d’une signature de réponse de licence forgée, de désérialiser des objets arbitraires, ouvrant la voie à une injection de commandes et à l’exécution de commandes. La vulnérabilité est quasi identique à CVE-2023-0669, exploitée auparavant comme zero-day par plusieurs groupes de ransomware. L’exposition sur Internet du système est nécessaire pour l’exploitation. Produits et correctifs: ...

Selon le SANS Internet Storm Center (diary de Johannes B. Ullrich), des tentatives d’exploitation ciblent DELMIA Apriso (MOM/MES de Dassault Systèmes) pour la vulnérabilité référencée CVE-2025-5086, décrite comme une désérialisation de données non fiables menant à une exécution de code à distance (RCE) sur les versions 2020 à 2025. L’auteur indique observer des requêtes POST vers l’endpoint SOAP de DELMIA Apriso (port 9000) utilisant l’action IFlexNetOperationsService/Invoke. Les scans proviennent de l’IP 156.244.33.162 (géolocalisation incertaine). Le cœur de l’attaque repose sur un objet sérialisé déclenchant un flux de désérialisation .NET. ...

CVE-2024-12029 est une vulnérabilité de désérialisation critique dans l’API d’installation de modèles d’InvokeAI qui permet une exécution de code à distance sans authentification. La faille provient de l’utilisation non sécurisée de la fonction torch.load() de PyTorch lors du traitement des fichiers de modèles fournis par l’utilisateur. Les attaquants peuvent concevoir des fichiers de modèles malveillants contenant du code Python intégré qui s’exécute lorsque le modèle est chargé côté serveur. La vulnérabilité affecte les versions 5.3.1 à 5.4.2 d’InvokeAI et a reçu un score CVSS de 9.8. Les organisations doivent immédiatement mettre à jour vers la version 5.4.3 ou ultérieure et mettre en œuvre une validation d’entrée appropriée ainsi que des contrôles de segmentation réseau. ...