RCE non authentifiée sur UniFi OS Server : chaîne de vulnérabilités CVSS 10.0 (CVE-2026-34908/09/10)

🔍 Contexte Le 5 juin 2026, Bishop Fox (chercheur Jon Williams) publie une analyse technique approfondie d’une chaîne d’exploitation affectant UniFi OS Server d’Ubiquiti, couverte par le Security Advisory Bulletin 064 (SAB-064) publié le 21 mai 2026. L’analyse porte sur les versions 5.0.6 et inférieures (unifi-core ≤ 5.0.126), validée sur une cible live. 🧩 Chaîne d’exploitation (3 parties) Partie 1 — Contournement de l’authentification (CVE-2026-34908 / CVE-2026-34909, CVSS 10.0) Le proxy Nginx utilise $request_uri (brut, encodé) pour la vérification d’authentification via auth_request, mais $uri (normalisé, décodé) pour le routage vers les backends. Une requête dont l’URI brut commence par /api/auth/validate-sso/ (route publique exemptée) mais dont la forme normalisée résout vers /proxy/<service>/ (route authentifiée) contourne le contrôle d’accès. Des séquences de path traversal encodées (..%2f, ..%2e, %2e%2e) permettent cette divergence. Partie 2 — Injection de commande (CVE-2026-34910, CVSS 10.0 / CVE-2026-33000, CVSS 9.1) ...

8 juin 2026 · 4 min

Exploitation active de CVE-2025-2611 dans ICTBroadcast via injection de commande

Selon VulnCheck, une campagne active exploite CVE-2025-2611, une vulnérabilité d’injection de commande non authentifiée dans le logiciel de call center ICTBroadcast, via le paramètre de cookie BROADCAST de login.php. Les chercheurs décrivent une exploitation non authentifiée de la vulnérabilité d’injection de commande dans ICTBroadcast, visant environ 200 instances exposées. L’attaque se déroule en deux phases : d’abord des sondes temporelles (« sleep 3 ») pour confirmer l’exécution de commande, puis l’établissement de reverse shells vers l’adresse 143.47.53.106 et l’infrastructure localto.net. ...

14 octobre 2025 · 2 min

Trois failles critiques sur le routeur TOTOLINK X6000R corrigées (CVE-2025-52905/06/07)

Source: Unit 42 (Palo Alto Networks). Les chercheurs décrivent trois vulnérabilités critiques dans le firmware du routeur TOTOLINK X6000R (V9.4.0cu.1360B20241207) permettant à des attaquants non authentifiés d’exécuter des commandes (jusqu’aux privilèges root), d’intercepter le trafic et de manipuler des fichiers système critiques. TOTOLINK a publié un correctif dans le firmware V9.4.0cu.1498B20250826. Les failles résident dans l’endpoint central du panneau web, /cgi-bin/cstecgi.cgi. • CVE-2025-52905: injection d’arguments due à une liste de blocage incomplète qui ne filtre pas le caractère tiret (-). • CVE-2025-52906: injection de commandes non authentifiée dans la fonction setEasyMeshAgentCfg via le paramètre agentName, permettant l’exécution de commandes avec les privilèges du serveur web. • CVE-2025-52907: contournement de sécurité affectant plusieurs composants, dont setWizardCfg, autorisant des écritures arbitraires de fichiers en contournant les contrôles de validation. ...

2 octobre 2025 · 2 min
Dernière mise à jour le: 14 juillet 2026 📝