Injection De Commandes

🗓️ Contexte Publié le 17 avril 2026 sur IT-Connect par Florian Burnel, cet article traite de deux nouvelles vulnérabilités affectant PHP Composer, l’outil de gestion de dépendances très répandu dans l’écosystème PHP. 🔍 Vulnérabilités identifiées Deux failles de sécurité ont été divulguées, toutes deux localisées dans le pilote VCS (Version Control System) Perforce de Composer : CVE-2026-40176 (CVSS : 7.8/10) : vulnérabilité de mauvaise validation des entrées. Un attaquant contrôlant la configuration d’un dépôt via un fichier composer.json malveillant déclarant un dépôt Perforce VCS peut injecter des commandes arbitraires, exécutées avec les privilèges de l’utilisateur lançant Composer. CVE-2026-40261 (CVSS : 8.8/10) : vulnérabilité d’échappement inadéquat. Elle permet l’injection de commandes via une référence de source manipulée contenant des métacaractères shell. ⚠️ Ces failles sont exploitables même si Perforce VCS n’est pas installé sur la machine cible. ...

Selon un bulletin de sécurité AWS (Bulletin ID: 2026-001-AWS) publié le 9 janvier 2026, une vulnérabilité référencée CVE-2026-0830 touche Kiro IDE, un IDE agentique installé sur poste de travail. ⚠️ Le bulletin décrit une injection de commandes pouvant survenir lors de l’ouverture d’un espace de travail malveillant. L’exploitation est rendue possible par des noms de dossiers spécialement conçus au sein de l’espace de travail, permettant l’exécution arbitraire de commandes sur les versions concernées de Kiro IDE. ...

Source: space.com (article de Tereza Pultarova). Un article rapporte qu’AISLE, une start-up californienne, a identifié une vulnérabilité dans le logiciel de sécurité CryptoLib, utilisé pour protéger les communications sol–satellite de la NASA, et indique que son IA a détecté et corrigé la faille en quatre jours. Selon AISLE, la faille réside dans le système d’authentification de CryptoLib et « transforme une configuration d’authentification de routine en arme ». Un attaquant pourrait injecter des commandes arbitraires s’exécutant avec pleins privilèges. Les chercheurs précisent que la vulnérabilité aurait perduré environ trois ans et qu’elle « menace des milliards de dollars d’infrastructures spatiales » et les missions scientifiques associées. 🔐⚠️ ...

Source et contexte — Check Point Research publie une analyse détaillant CVE-2025-61260, une vulnérabilité d’injection de commandes dans OpenAI Codex CLI liée au chargement implicite de configurations locales de projet via MCP (Model Context Protocol). Le problème provient du fait que Codex CLI charge automatiquement, au démarrage, des entrées mcp_servers issues d’une configuration projet lorsque le dépôt contient un .env définissant CODEX_HOME=./.codex et un ./.codex/config.toml. Les commandes déclarées y sont alors exécutées immédiatement sans validation, approbation interactive ni recontrôle lors de modifications. La confiance est liée à l’emplacement (le répertoire résolu) plutôt qu’au contenu, permettant de remplacer ultérieurement une config initialement bénigne par une payload malveillante. ...

Selon watchTowr Labs, une vulnérabilité critique CVE-2025-36604 affecte Dell UnityVSA jusqu’à la version 5.5.0.0.5.259, permettant une injection de commandes avant authentification; Dell a publié un correctif en 5.5.1. ⚠️ Impact et portée: Des attaquants non authentifiés peuvent exécuter des commandes arbitraires sur des appliances de stockage vulnérables, avec un risque d’accès à des données sensibles. Détails techniques: La faille réside dans la fonction getCASURL du module Perl AccessTool.pm lorsque le paramètre $type=‘login’. La variable $uri, issue directement de $r->uri() (requête HTTP), est concaténée sans sanitisation dans une chaîne ($exec_cmd) puis exécutée via des backticks Perl. Le chemin vulnérable est déclenché par la configuration Apache (PerlModule) qui enregistre AccessHandler::handler pour chaque requête. Une requête non authentifiée vers une ressource valide (sans les cookies attendus) appelle successivement make_return_address(), getCASLoginURL(), puis getCASURL(type=‘login’), menant à l’exécution de la commande injectée. La vulnérabilité a échappé à la détection car elle ne se manifeste que lorsque l’URI pointe vers une ressource nécessitant la résolution du handler. Alors que d’autres entrées étaient correctement échappées (quotes simples), $uri dans le flux « login » ne l’était pas. ...

Selon CloudSEK, une opération de botnet exploitant un modèle de Loader-as-a-Service distribue les charges malveillantes RondoDoX, Mirai et Morte. La campagne cible systématiquement des routeurs SOHO, des appareils IoT et des applications d’entreprise, avec une hausse d’attaques de 230 % et une rotation rapide de l’infrastructure. 🚨 Vecteurs et vulnérabilités: les acteurs abusent d’injections de commandes via des paramètres POST non filtrés dans des interfaces web (champs NTP, syslog, hostname), et exploitent des CVE connues affectant WebLogic, WordPress et vBulletin. Ils tirent aussi parti d’identifiants par défaut et de chargeurs multi‑étapes pour déployer les payloads sur plusieurs architectures. ...

Selon Arctic Wolf, CVE-2025-10035 est une vulnérabilité critique de désérialisation affectant Fortra GoAnywhere Managed File Transfer (MFT), avec un risque d’injection de commandes à distance. Aucune exploitation active n’a été observée, mais le produit a déjà été une cible de choix pour des acteurs comme le ransomware Cl0p. ⚙️ Détails techniques: La faille réside dans le License Servlet et permet à un acteur distant, muni de signatures de réponse de licence falsifiées mais valides, de désérialiser des objets arbitraires et d’aboutir à une injection de commandes. ...

Selon BleepingComputer, Fortinet met en garde contre une vulnérabilité critique affectant FortiSIEM, pour laquelle du code d’exploitation circule déjà. ⚠️ Problème signalé: faille d’injection de commandes à distance non authentifiée dans FortiSIEM. Selon l’alerte, du code d’exploit est déjà « in the wild », ce qui accroît le risque d’abus. 🛠️ Mesure mise en avant: Fortinet souligne qu’il est crucial d’appliquer les dernières mises à jour de sécurité disponibles pour les produits concernés. ...

Selon Arctic Wolf, Fortinet a publié des correctifs pour une vulnérabilité critique (CVE-2025-25256) dans FortiSIEM, permettant à un attaquant non authentifié de réaliser une exécution de code à distance (RCE) via injection de commandes dans le service phMonitor. Un proof-of-concept public est disponible, renforçant l’urgence d’appliquer les mises à jour. 🚨 Sur le plan technique, la faille provient d’une neutralisation incorrecte d’éléments spéciaux dans des commandes système. Le service phMonitor, à l’écoute sur le port TCP 7900, peut être ciblé via des requêtes CLI spécialement conçues, ouvrant la voie à l’exécution de code non autorisé. ...