Exploitation Active

Selon l’extrait fourni, des acteurs malveillants exploitent des failles critiques dans plusieurs produits Fortinet afin d’obtenir un accès non autorisé aux comptes administrateur et de dérober des fichiers de configuration système. 🚨 Des hackers mènent une exploitation active de vulnérabilités critiques touchant plusieurs produits Fortinet. L’objectif principal est l’accès non autorisé à des comptes administrateur et le vol de fichiers de configuration. 1) Fait principal Des hackers exploitent activement deux vulnérabilités critiques affectant plusieurs produits Fortinet. Objectif : obtenir un accès administrateur et exfiltrer les fichiers de configuration système. Les attaques sont observées depuis le 12 décembre, soit quelques jours après l’alerte officielle de Fortinet (9 décembre). 2) Vulnérabilités exploitées 🔴 CVE-2025-59718 Type : contournement d’authentification FortiCloud SSO Produits affectés : FortiOS FortiProxy FortiSwitchManager Cause : mauvaise vérification cryptographique des signatures SAML Impact : connexion possible sans authentification valide via une assertion SAML malveillante 🔴 CVE-2025-59719 Type : contournement d’authentification FortiCloud SSO Produit affecté : FortiWeb Cause : faille similaire dans la validation des signatures SAML Impact : accès administrateur non authentifié via SSO forgé 📌 Les deux failles ne sont exploitables que si FortiCloud SSO est activé ⚠️ Cette option n’est pas activée par défaut, mais elle l’est automatiquement lors de l’enregistrement via FortiCare, sauf désactivation explicite. ...

Source: cyble.com — Dans un billet du 8 décembre 2025, Cyble décrit l’exploitation ultra-rapide de la vulnérabilité critique React2Shell (CVE-2025-55182) dans React Server Components, avec des groupes liés à la Chine actifs quelques heures après la divulgation publique. • Vulnérabilité et portée: CVE-2025-55182 (React2Shell) permet une RCE non authentifiée (CVSS 10.0) via un défaut de désérialisation non sûre dans le protocole React Server Components Flight. Elle touche React 19.x et Next.js 15.x/16.x (App Router), et a été ajoutée au catalogue KEV de la CISA. Cyble précise que les paquets affectés incluent: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack sur React 19.0.0–19.2.0, corrigés en 19.0.1, 19.1.2 et 19.2.1. Next.js est aussi concerné via CVE-2025-66478 (versions: à partir de 14.3.0-canary.77, toutes 15.x non corrigées, et 16.x < 16.0.7). ...

Selon Cyber Security News, une campagne d’exploitation active vise les portails Palo Alto Networks GlobalProtect depuis fin novembre 2025, avec un suivi par GrayNoise et Shadowserver montrant des scans et tentatives d’intrusion en provenance de plus de 7 000 IP réparties mondialement. — Contexte et ampleur de l’attaque — • Des scans massifs et des tentatives d’exploitation ciblent les passerelles GlobalProtect exposées sur Internet, notamment via UDP 4501. Les sources incluent des proxies résidentiels, des hébergeurs bulletproof et des VPS compromis en Asie, Europe et Amérique du Nord. Un chercheur mentionne des acteurs qui enchaînent des exploits connus et recherchent des configurations faibles. ...

Source: JPCERT/CC — Alerte JPCERT-AT-2025-0024 (ouverte le 2025-12-03, mise à jour le 2025-12-05). Le CERT japonais décrit une vulnérabilité d’injection de commandes affectant la fonctionnalité DesktopDirect des appliances Array AG d’Array Networks, permettant l’exécution de commandes arbitraires. Aucun CVE n’est attribué au moment de la publication. Produits et versions concernés: ArrayOS AG 9.4.5.8 et antérieurs lorsque la fonction DesktopDirect est activée. État et impact: JPCERT/CC a confirmé des attaques survenues depuis août 2025 au Japon, menant à l’implantation de webshells, la création de nouveaux comptes utilisateurs et des intrusions internes via l’équipement ciblé. Dans les cas observés, des commandes tentaient de déposer un webshell PHP sous le chemin incluant /webapp/. Un IOC IP d’émission des communications d’attaque est fourni: 194.233.100[.]138. ...

Source : Wordfence (blog). Contexte : une vulnérabilité critique d’élévation de privilèges dans le plugin WordPress King Addons for Elementor (>10 000 installations actives) est activement exploitée depuis fin octobre 2025. Le correctif est disponible depuis le 25 septembre 2025 (version 51.1.35). 🚨 Vulnérabilité et impact La fonction d’inscription AJAX handle_register_ajax() accepte un paramètre user_role non restreint, permettant à un attaquant non authentifié de se créer un compte avec le rôle administrator. Impact : compromission complète du site (installation de plugins/thèmes malveillants, backdoors, modification de contenus, redirections, injection de spam). 🗓️ Chronologie et statistiques ...

Selon une alerte de la CISA, les agences gouvernementales américaines sont appelées à appliquer d’urgence les correctifs pour une vulnérabilité affectant Oracle Identity Manager, référencée CVE-2025-61757, qui a été exploitée dans des attaques et pourrait constituer un zero‑day. ⚠️ La CISA signale une exploitation active de la vulnérabilité CVE-2025-61757 ciblant Oracle Identity Manager. L’agence insiste pour que les entités concernées procèdent au patch sans délai. Les éléments communiqués mettent en avant le caractère potentiellement “zero‑day” de l’exploitation, c’est‑à‑dire que la faille aurait pu être utilisée avant la disponibilité d’un correctif. ...

Selon watchTowr Labs, une vulnérabilité non nommée et sans identifiant public affecte Fortinet FortiWeb et serait exploitée activement, signalée initialement par l’équipe Defused; des tests internes de watchTowr indiquent qu’un correctif “silencieux” semble présent en version 8.0.2, bien que les notes de version n’en fassent pas mention. L’analyse détaille une combinaison de deux failles: traversée de chemin dans l’URI de l’API FortiWeb permettant d’atteindre l’exécutable CGI interne fwbcgi, puis contournement d’authentification via l’en-tête HTTP_CGIINFO. Le composant fwbcgi effectue un contrôle d’entrée minimal (JSON valide) et une phase d’“authentification” qui, en réalité, impersonne l’utilisateur fourni par le client via un JSON Base64 (champs username, profname, vdom, loginname), conférant ensuite les privilèges correspondants dans cgi_process(). ...

Selon BleepingComputer, la CISA (agence américaine de cybersécurité) avertit que des acteurs menaçants exploitent une vulnérabilité d’exécution de commandes à distance critique affectant CentOS Web Panel (CWP). ⚠️ Points clés mis en avant par l’article: Type de vulnérabilité: exécution de commandes à distance (RCE) critique Produit affecté: CentOS Web Panel (CWP) Statut: exploitation active par des acteurs malveillants L’article signale une alerte de la CISA mettant l’accent sur l’exploitation en cours de cette faille, sans autres détails techniques fournis dans l’extrait. ...

Selon BleepingComputer, des acteurs malveillants exploitent activement une vulnérabilité critique (CVE-2025-11833, score 9,8) dans le plugin WordPress Post SMTP (installé sur 400 000+ sites), permettant la lecture non authentifiée des journaux d’e-mails et la prise de contrôle de comptes administrateurs. — Détails techniques et impact — La faille provient de l’absence de contrôles d’autorisation dans le constructeur ‘_construct’ de la classe PostmanEmailLogs, qui rend directement le contenu des e-mails journalisés sans vérification de capacités. Les journaux exposent notamment des messages de réinitialisation de mot de passe contenant des liens permettant de modifier le mot de passe d’un administrateur, conduisant à une compromission complète du site. 🚨 — Chronologie — ...

Selon BleepingComputer, des pirates exploitent activement la vulnérabilité critique SessionReaper (CVE-2025-54236) touchant les plateformes Adobe Commerce (ex‑Magento), avec des centaines de tentatives déjà enregistrées. ⚠️ Exploitation active de la faille critique “SessionReaper” dans Adobe Commerce (Magento) Des chercheurs de Sansec alertent sur une campagne d’exploitation active de la vulnérabilité critique CVE-2025-54236, surnommée SessionReaper, affectant les plateformes Adobe Commerce (anciennement Magento). Plus de 250 tentatives d’attaque ont déjà été détectées en une seule journée, ciblant plusieurs boutiques en ligne. ...