Exécution De Code À Distance

Selon un article publié sur Bleeping Computer, une vulnérabilité critique identifiée comme CVE-2025-49113 dans l’application webmail open-source Roundcube est activement exploitée par des hackers. Cette faille permet une exécution de code à distance post-authentification et affecte les versions de Roundcube de la 1.1.0 à la 1.6.10. La vulnérabilité a été présente dans le logiciel pendant plus de dix ans avant d’être corrigée le 1er juin. Cependant, les attaquants ont rapidement réussi à ingénier à rebours le correctif, à armer la vulnérabilité et à commencer à vendre un exploit fonctionnel sur des forums de hackers. ...

L’article publié par Jimi Sebree dans Attack Blogs le 22 mai 2025, détaille une vulnérabilité critique, CVE-2025-32756, affectant divers produits Fortinet tels que FortiCamera, FortiMail, FortiNDR, FortiRecorder et FortiVoice. Cette vulnérabilité est un débordement de tampon basé sur la pile dans l’API administrative, ce qui peut mener à une exécution de code à distance non authentifiée. FortiGuard Labs a publié un avis sur cette vulnérabilité le 13 mai 2025, et elle a été ajoutée au catalogue CISA KEV le lendemain, indiquant qu’elle est déjà exploitée dans la nature. L’analyse technique a révélé que la vulnérabilité réside dans une bibliothèque partagée, notamment dans la fonction cookieval_unwrap() de libhttputil.so, où l’absence de vérification de taille pour le champ AuthHash entraîne un débordement de tampon. ...

🔍 Ce billet est un résumé technique en français du rapport publié par Synacktiv le 13 mai 2025, intitulé “Open-source toolset of an Ivanti CSA attacker”. Il analyse en détail trois outils open-source découverts lors d’enquêtes IR sur des compromissions d’appliances Ivanti CSA, utilisés par des attaquants pour maintenir un accès, pivoter latéralement et exécuter du code à distance. 🛠️ Analyse : Outils open-source utilisés dans les compromissions Ivanti CSA Suite à plusieurs compromissions impliquant les appliances Ivanti CSA, les équipes de réponse à incident de Synacktiv ont identifié l’utilisation d’outils open-source offensifs par les attaquants. Ce billet analyse trois d’entre eux, leurs fonctionnalités, et propose des méthodes de détection. ...

L’article de BleepingComputer rapporte que des groupes de ransomware ont rejoint les attaques en cours contre SAP NetWeaver, en exploitant une vulnérabilité de sévérité maximale. Cette faille permet aux acteurs malveillants d’obtenir une exécution de code à distance sur des serveurs vulnérables. SAP NetWeaver, une plateforme de développement et d’intégration d’applications, est particulièrement visée par ces attaques. Les conséquences de cette vulnérabilité sont potentiellement graves, car les attaquants peuvent prendre le contrôle des serveurs affectés, compromettant ainsi la sécurité des données et des systèmes des entreprises utilisant SAP NetWeaver. ...

L’actualité provient du blog de Talos Intelligence et concerne la mise à jour mensuelle de sécurité de Microsoft pour mai 2025. Cette mise à jour inclut la correction de 78 vulnérabilités affectant divers produits Microsoft, parmi lesquelles 11 sont classées comme critiques. Microsoft a identifié que cinq vulnérabilités sont actuellement exploitées dans la nature. Parmi celles-ci, CVE-2025-30397 est une vulnérabilité d’exécution de code à distance dans le Microsoft Scripting Engine. De plus, quatre vulnérabilités d’élévation de privilèges sont activement exploitées, notamment CVE-2025-32709, CVE-2025-30400, et CVE-2025-32701. ...

En mai 2025, Rapid7 a annoncé la découverte de trois vulnérabilités critiques dans les appliances SonicWall Secure Mobile Access (SMA) de la série 100, incluant les modèles SMA 200, 210, 400, 410, 500v. Ces vulnérabilités sont identifiées sous les codes CVE-2025-32819, CVE-2025-32820, et CVE-2025-32821. Un attaquant possédant un compte utilisateur SSLVPN sur un SMA peut exploiter ces failles pour rendre un répertoire système sensible inscriptible, élever ses privilèges jusqu’à ceux d’un administrateur SMA, et écrire un fichier exécutable dans un répertoire système. Cette chaîne d’exploitation permet une exécution de code à distance au niveau root. ...

L’article publié par Arctic Wolf alerte sur une exploitation active de la vulnérabilité CVE-2024-7399 dans le serveur Samsung MagicINFO 9, un système de gestion de contenu (CMS) utilisé pour contrôler à distance les affichages numériques. Cette vulnérabilité, initialement divulguée par Samsung en août 2024 après un signalement responsable par des chercheurs en sécurité, permet à des utilisateurs non authentifiés d’effectuer des écritures de fichiers arbitraires. Cela peut conduire à une exécution de code à distance si des fichiers JSP spécialement conçus sont écrits. ...

La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a émis une alerte concernant une vulnérabilité critique dans Langflow, un outil dont la nature n’est pas précisée dans l’extrait mais qui est suffisamment répandu pour justifier une alerte nationale. Cette vulnérabilité permet une exécution de code à distance, ce qui signifie qu’un attaquant pourrait potentiellement prendre le contrôle d’un système affecté sans autorisation préalable. La CISA a identifié cette faille comme étant activement exploitée, ce qui augmente considérablement le risque pour les organisations qui utilisent Langflow. En réponse, la CISA exhorte toutes les organisations concernées à appliquer immédiatement les mises à jour de sécurité et les mesures d’atténuation recommandées pour protéger leurs systèmes. ...

Une vulnérabilité zero-day dans Active! Mail, un logiciel de messagerie populaire, est actuellement exploitée par des attaquants. Cette vulnérabilité permet l’exécution de code à distance, ce qui donne aux attaquants un contrôle potentiel sur les systèmes affectés. Les attaques ciblent principalement de grandes organisations au Japon. Il est crucial que les organisations affectées appliquent les correctifs nécessaires dès que possible pour se protéger contre ces attaques. Les vulnérabilités zero-day sont particulièrement dangereuses car elles sont généralement inconnues des développeurs et des équipes de sécurité jusqu’à ce qu’elles soient exploitées dans le cadre d’une attaque. ...

Une vulnérabilité critique, suivie sous le nom de CVE-2025-32433, a été révélée dans le SSH Erlang/OTP. Cette faille permet l’exécution de code à distance sans authentification sur les appareils vulnérables. Il est essentiel pour les utilisateurs et administrateurs de systèmes utilisant Erlang/OTP SSH de mettre à jour leurs systèmes pour corriger cette vulnérabilité et protéger leurs appareils contre d’éventuelles attaques. 🔗 Source originale : https://www.bleepingcomputer.com/news/security/critical-erlang-otp-ssh-pre-auth-rce-is-surprisingly-easy-to-exploit-patch-now/