Exploitation Active

Selon BleepingComputer, la CISA (agence américaine de cybersécurité) avertit que des acteurs menaçants exploitent une vulnérabilité d’exécution de commandes à distance critique affectant CentOS Web Panel (CWP). ⚠️ Points clés mis en avant par l’article: Type de vulnérabilité: exécution de commandes à distance (RCE) critique Produit affecté: CentOS Web Panel (CWP) Statut: exploitation active par des acteurs malveillants L’article signale une alerte de la CISA mettant l’accent sur l’exploitation en cours de cette faille, sans autres détails techniques fournis dans l’extrait. ...

Selon BleepingComputer, des acteurs malveillants exploitent activement une vulnérabilité critique (CVE-2025-11833, score 9,8) dans le plugin WordPress Post SMTP (installé sur 400 000+ sites), permettant la lecture non authentifiée des journaux d’e-mails et la prise de contrôle de comptes administrateurs. — Détails techniques et impact — La faille provient de l’absence de contrôles d’autorisation dans le constructeur ‘_construct’ de la classe PostmanEmailLogs, qui rend directement le contenu des e-mails journalisés sans vérification de capacités. Les journaux exposent notamment des messages de réinitialisation de mot de passe contenant des liens permettant de modifier le mot de passe d’un administrateur, conduisant à une compromission complète du site. 🚨 — Chronologie — ...

Selon BleepingComputer, des pirates exploitent activement la vulnérabilité critique SessionReaper (CVE-2025-54236) touchant les plateformes Adobe Commerce (ex‑Magento), avec des centaines de tentatives déjà enregistrées. ⚠️ Exploitation active de la faille critique “SessionReaper” dans Adobe Commerce (Magento) Des chercheurs de Sansec alertent sur une campagne d’exploitation active de la vulnérabilité critique CVE-2025-54236, surnommée SessionReaper, affectant les plateformes Adobe Commerce (anciennement Magento). Plus de 250 tentatives d’attaque ont déjà été détectées en une seule journée, ciblant plusieurs boutiques en ligne. ...

Selon VulnCheck, une campagne active exploite CVE-2025-2611, une vulnérabilité d’injection de commande non authentifiée dans le logiciel de call center ICTBroadcast, via le paramètre de cookie BROADCAST de login.php. Les chercheurs décrivent une exploitation non authentifiée de la vulnérabilité d’injection de commande dans ICTBroadcast, visant environ 200 instances exposées. L’attaque se déroule en deux phases : d’abord des sondes temporelles (« sleep 3 ») pour confirmer l’exécution de commande, puis l’établissement de reverse shells vers l’adresse 143.47.53.106 et l’infrastructure localto.net. ...

Selon Rapid7, un rapport de menace détaille l’exploitation active de la vulnérabilité critique CVE‑2025‑53770 affectant Microsoft SharePoint, utilisée comme vecteur d’accès initial par des acteurs malveillants. Le risque est jugé élevé pour le secteur public, où SharePoint est largement déployé et manipule des données sensibles, dans un contexte de délais de remédiation serrés imposés par la CISA. 🚨 Impact et portée: des campagnes automatisées ciblent des serveurs SharePoint exposés sur Internet, suivies d’une exploitation « hands‑on‑keyboard ». Après compromission, les attaquants déploient des web shells, se déplacent latéralement et collectent des identifiants afin d’établir une persistance, ouvrant la voie à d’éventuels rançongiciels ou à l’exfiltration de données. De nombreuses organisations publiques locales et étatiques demeurent exposées. ...

Selon BleepingComputer, environ 48 800 équipements Cisco Adaptive Security Appliance (ASA) et Firewall Threat Defense (FTD) exposés sur le web public sont vulnérables à deux vulnérabilités actuellement exploitées activement par des attaquants. Près de 50 000 appliances Cisco ASA et FTD exposées sur Internet sont vulnérables à deux failles majeures exploitées activement : CVE-2025-20333 (dépassement de tampon permettant une exécution de code à distance après authentification) et CVE-2025-20362 (contournement d’authentification, accès non autorisé à des endpoints VPN). L’exploitation combinée de ces failles autorise une prise de contrôle complète de l’équipement sans authentification préalable, mettant en danger la confidentialité, l’intégrité et la disponibilité des systèmes protégés. ...

Selon BleepingComputer, Libraesva a diffusé une mise à jour d’urgence pour son produit Email Security Gateway après la découverte d’une vulnérabilité activement exploitée par des acteurs de menace présumés étatiques. L’article indique que l’éditeur a publié un correctif visant à résoudre une faille de sécurité au sein de la solution Libraesva Email Security Gateway. La vulnérabilité fait l’objet d’une exploitation en conditions réelles, ce qui a motivé une mise à jour immédiate. ...

Selon BleepingComputer, Google a publié la mise à jour de sécurité de septembre 2025 pour les appareils Android, corrigeant un total de 84 vulnérabilités, dont deux failles exploitées activement. Produits concernés : appareils Android. Portée du correctif : 84 vulnérabilités corrigées. Gravité notable : 2 vulnérabilités exploitées activement (en cours d’exploitation dans la nature). Cette publication signale que des attaques tirent déjà parti de certaines failles, tandis que l’ensemble du correctif vise à renforcer la sécurité du système Android pour ce cycle mensuel de septembre 2025. 🔒 ...

Source : watchTowr Labs. Contexte : les chercheurs décrivent comment ils ont observé et reproduit l’exploitation active de CVE-2025-54309 affectant CrushFTP, listée dans le CISA KEV le 22 juillet 2025, et permettant un accès administrateur via HTTPS lorsque la fonctionnalité proxy DMZ n’est pas utilisée. • Vulnérabilité et impact. La faille touche « CrushFTP 10 avant 10.8.5 » et « 11 avant 11.3.4_23 » et provient d’une mauvaise gestion de la validation AS2. Exploitée en juillet 2025, elle permet d’obtenir des privilèges administrateur (ex. l’utilisateur intégré crushadmin), entraînant un contrôle total du serveur (création/lecture de fichiers sensibles). Le billet souligne l’ampleur potentielle avec plus de 30 000 instances exposées. ...

Plus de 28 200 instances Citrix dans le monde sont aujourd’hui vulnérables à une faille critique de type exécution de code à distance (RCE), identifiée sous le code CVE-2025-7775. Cette vulnérabilité touche NetScaler ADC et NetScaler Gateway et a déjà été exploitée comme un zero-day, avant même la publication du correctif. Les versions affectées incluent 14.1 avant 14.1-47.48, 13.1 avant 13.1-59.22, 13.1-FIPS/NDcPP avant 13.1-37.241 et 12.1-FIPS/NDcPP jusqu’à 12.1-55.330. Citrix précise qu’aucune mesure de mitigation ou de contournement n’existe : les administrateurs doivent mettre à jour immédiatement vers une version corrigée. ...