Exécution De Code À Distance

L’article publié le 20 juillet 2025 met en lumière une vulnérabilité zero-day critique identifiée sous le code CVE-2025-53770, affectant Microsoft SharePoint Server. Cette vulnérabilité est activement exploitée à grande échelle et pourrait potentiellement toucher des milliers de serveurs accessibles publiquement. La faille permet une exécution de code à distance non authentifiée en permettant aux attaquants d’obtenir des détails de configuration MachineKey. Malgré la publication par Microsoft de directives d’atténuation, aucun correctif n’est actuellement disponible. Les organisations sont encouragées à mettre en œuvre les atténuations recommandées, notamment l’intégration AMSI et une surveillance accrue pour détecter des indicateurs de compromission tels que la création de fichiers ‘spinstall0.aspx’. ...

CVE-2024-12029 est une vulnérabilité de désérialisation critique dans l’API d’installation de modèles d’InvokeAI qui permet une exécution de code à distance sans authentification. La faille provient de l’utilisation non sécurisée de la fonction torch.load() de PyTorch lors du traitement des fichiers de modèles fournis par l’utilisateur. Les attaquants peuvent concevoir des fichiers de modèles malveillants contenant du code Python intégré qui s’exécute lorsque le modèle est chargé côté serveur. La vulnérabilité affecte les versions 5.3.1 à 5.4.2 d’InvokeAI et a reçu un score CVSS de 9.8. Les organisations doivent immédiatement mettre à jour vers la version 5.4.3 ou ultérieure et mettre en œuvre une validation d’entrée appropriée ainsi que des contrôles de segmentation réseau. ...

Selon un article de Bleeping Computer, des hackers ont commencé à exploiter une vulnérabilité critique d’exécution de code à distance dans le logiciel Wing FTP Server. Cette exploitation a débuté seulement un jour après que les détails techniques de la faille ont été rendus publics. La vulnérabilité permet à un attaquant de prendre le contrôle d’un serveur vulnérable à distance, ce qui peut avoir des conséquences graves pour les utilisateurs du logiciel. La rapidité de l’exploitation souligne l’importance de la réactivité en matière de cybersécurité. ...

Selon ce bulletin de sécurité de Cisco publié le 26 juin 2025, plusieurs vulnérabilités ont été identifiées dans les produits Cisco Identity Services Engine (ISE) et Cisco ISE Passive Identity Connector (ISE-PIC). Ces failles pourraient permettre à un attaquant non authentifié d’exécuter des commandes sur le système d’exploitation sous-jacent en tant qu’utilisateur root. La première vulnérabilité, CVE-2025-20281, est due à une validation insuffisante des entrées utilisateur dans une API spécifique de Cisco ISE et ISE-PIC. Un attaquant pourrait exploiter cette faille en soumettant une requête API spécialement conçue, obtenant ainsi des privilèges root sur un appareil affecté. Cette vulnérabilité est classée avec un score CVSS de 10.0, indiquant une sévérité critique. ...

Selon un article publié sur Bleeping Computer, une vulnérabilité critique identifiée comme CVE-2025-49113 dans l’application webmail open-source Roundcube est activement exploitée par des hackers. Cette faille permet une exécution de code à distance post-authentification et affecte les versions de Roundcube de la 1.1.0 à la 1.6.10. La vulnérabilité a été présente dans le logiciel pendant plus de dix ans avant d’être corrigée le 1er juin. Cependant, les attaquants ont rapidement réussi à ingénier à rebours le correctif, à armer la vulnérabilité et à commencer à vendre un exploit fonctionnel sur des forums de hackers. ...

L’article publié par Jimi Sebree dans Attack Blogs le 22 mai 2025, détaille une vulnérabilité critique, CVE-2025-32756, affectant divers produits Fortinet tels que FortiCamera, FortiMail, FortiNDR, FortiRecorder et FortiVoice. Cette vulnérabilité est un débordement de tampon basé sur la pile dans l’API administrative, ce qui peut mener à une exécution de code à distance non authentifiée. FortiGuard Labs a publié un avis sur cette vulnérabilité le 13 mai 2025, et elle a été ajoutée au catalogue CISA KEV le lendemain, indiquant qu’elle est déjà exploitée dans la nature. L’analyse technique a révélé que la vulnérabilité réside dans une bibliothèque partagée, notamment dans la fonction cookieval_unwrap() de libhttputil.so, où l’absence de vérification de taille pour le champ AuthHash entraîne un débordement de tampon. ...

🔍 Ce billet est un résumé technique en français du rapport publié par Synacktiv le 13 mai 2025, intitulé “Open-source toolset of an Ivanti CSA attacker”. Il analyse en détail trois outils open-source découverts lors d’enquêtes IR sur des compromissions d’appliances Ivanti CSA, utilisés par des attaquants pour maintenir un accès, pivoter latéralement et exécuter du code à distance. 🛠️ Analyse : Outils open-source utilisés dans les compromissions Ivanti CSA Suite à plusieurs compromissions impliquant les appliances Ivanti CSA, les équipes de réponse à incident de Synacktiv ont identifié l’utilisation d’outils open-source offensifs par les attaquants. Ce billet analyse trois d’entre eux, leurs fonctionnalités, et propose des méthodes de détection. ...

L’article de BleepingComputer rapporte que des groupes de ransomware ont rejoint les attaques en cours contre SAP NetWeaver, en exploitant une vulnérabilité de sévérité maximale. Cette faille permet aux acteurs malveillants d’obtenir une exécution de code à distance sur des serveurs vulnérables. SAP NetWeaver, une plateforme de développement et d’intégration d’applications, est particulièrement visée par ces attaques. Les conséquences de cette vulnérabilité sont potentiellement graves, car les attaquants peuvent prendre le contrôle des serveurs affectés, compromettant ainsi la sécurité des données et des systèmes des entreprises utilisant SAP NetWeaver. ...

L’actualité provient du blog de Talos Intelligence et concerne la mise à jour mensuelle de sécurité de Microsoft pour mai 2025. Cette mise à jour inclut la correction de 78 vulnérabilités affectant divers produits Microsoft, parmi lesquelles 11 sont classées comme critiques. Microsoft a identifié que cinq vulnérabilités sont actuellement exploitées dans la nature. Parmi celles-ci, CVE-2025-30397 est une vulnérabilité d’exécution de code à distance dans le Microsoft Scripting Engine. De plus, quatre vulnérabilités d’élévation de privilèges sont activement exploitées, notamment CVE-2025-32709, CVE-2025-30400, et CVE-2025-32701. ...

En mai 2025, Rapid7 a annoncé la découverte de trois vulnérabilités critiques dans les appliances SonicWall Secure Mobile Access (SMA) de la série 100, incluant les modèles SMA 200, 210, 400, 410, 500v. Ces vulnérabilités sont identifiées sous les codes CVE-2025-32819, CVE-2025-32820, et CVE-2025-32821. Un attaquant possédant un compte utilisateur SSLVPN sur un SMA peut exploiter ces failles pour rendre un répertoire système sensible inscriptible, élever ses privilèges jusqu’à ceux d’un administrateur SMA, et écrire un fichier exécutable dans un répertoire système. Cette chaîne d’exploitation permet une exécution de code à distance au niveau root. ...