Patch De Sécurité

Selon IT-Connect, Veeam a publié des correctifs en ce début janvier 2026 pour quatre vulnérabilités affectant Veeam Backup & Replication 13, issues d’audits internes. Trois d’entre elles permettent une exécution de code à distance (RCE). ⚠️ Détail des failles (CVE, impact, privilèges requis, sévérité, CVSS): CVE-2025-55125: RCE en tant que root via création d’un fichier de configuration de sauvegarde malveillant — Prérequis: Backup/Tape Operator — Élevée, 7.2 CVE-2025-59468: RCE en tant qu’utilisateur postgres via envoi d’un paramètre de mot de passe malveillant — Prérequis: Backup Administrator — Moyenne, 6.7 CVE-2025-59469: Écriture de fichiers arbitraires en tant que root — Prérequis: Backup/Tape Operator — Élevée, 7.2 CVE-2025-59470: RCE en tant qu’utilisateur postgres via des paramètres d’ordre ou d’intervalle malveillants — Prérequis: Backup/Tape Operator — Élevée, 9.0 (CVSS) Pour la CVE-2025-59470, malgré un score CVSS 9.0, Veeam abaisse la sévérité à Élevée car: 1) l’exploitation exige déjà le rôle Operator, conférant de forts privilèges; 2) l’application des bonnes pratiques de sécurité Veeam réduit la probabilité d’exploitation. ...

Selon BleepingComputer, MongoDB a émis une alerte pressant les administrateurs IT d’appliquer sans délai les correctifs pour une vulnérabilité classée à haute gravité. ⚠️ L’éditeur met en garde contre une vulnérabilité de lecture de mémoire de gravité élevée, qui pourrait être exploitée à distance par des attaquants non authentifiés. Alerte sécurité : vulnérabilité critique MongoDB (CVE-2025-14847) Détails de la vulnérabilité Identifiant : CVE-2025-14847 Vecteur d’attaque : Non authentifié, faible complexité, aucune interaction utilisateur requise Cause : Mauvaise gestion d’une incohérence de paramètres de longueur dans l’implémentation zlib côté serveur Impact : Exécution de code arbitraire Fuite de mémoire (heap non initialisé) Prise de contrôle potentielle du serveur MongoDB Selon MongoDB : ...

Selon react.dev, une vulnérabilité critique permettant une exécution de code à distance non authentifiée a été découverte dans React Server Components et divulgée sous CVE-2025-55182 (score CVSS 10.0). Le défaut provient d’un problème dans la façon dont React décode les charges utiles envoyées aux endpoints de React Server Functions, permettant à un attaquant de provoquer une RCE via une requête HTTP malveillante. ⚠️ Portée et impact La faille touche les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. Même si une application n’implémente pas d’endpoints Server Function, elle peut être vulnérable si elle supporte React Server Components. Les applications React sans serveur, ou sans framework/outil supportant RSC, ne sont pas affectées. Correctifs disponibles ...

En mai 2025, l’ingénieur sécurité RyotaK de GMO Flatt Security a découvert une vulnérabilité critique (CVE-2025-59489) dans le moteur Unity affectant tous les jeux et applications produits depuis la version 2017.1[web:135][web:137][web:139]. Cette faille permet à une application malveillante sur le même appareil d’exploiter la gestion des intents sous Android pour injecter des arguments dans Unity Runtime. Un attaquant peut ainsi charger une bibliothèque partagée (.so) arbitraire et exécuter du code malveillant avec les droits de l’application Unity, impactant potentiellement l’intégrité et la confidentialité des données utilisateur. ...

Selon Arctic Wolf, Fortinet a publié des correctifs pour une vulnérabilité critique (CVE-2025-25256) dans FortiSIEM, permettant à un attaquant non authentifié de réaliser une exécution de code à distance (RCE) via injection de commandes dans le service phMonitor. Un proof-of-concept public est disponible, renforçant l’urgence d’appliquer les mises à jour. 🚨 Sur le plan technique, la faille provient d’une neutralisation incorrecte d’éléments spéciaux dans des commandes système. Le service phMonitor, à l’écoute sur le port TCP 7900, peut être ciblé via des requêtes CLI spécialement conçues, ouvrant la voie à l’exécution de code non autorisé. ...

L’actualité provient de BleepingComputer, une source reconnue pour ses informations sur la cybersécurité. En juillet 2025, VMware a publié des correctifs pour quatre vulnérabilités critiques dans ses produits phares : VMware ESXi, Workstation, Fusion, et Tools. Ces failles ont été exploitées comme zero-days lors du prestigieux concours de hacking Pwn2Own Berlin 2025 qui s’est tenu en mai. Le concours Pwn2Own est connu pour mettre en lumière des failles de sécurité dans des produits largement utilisés, offrant aux chercheurs en sécurité une plateforme pour démontrer leurs découvertes. Les vulnérabilités découvertes lors de cet événement sont souvent critiques, car elles sont inconnues des éditeurs jusqu’à leur révélation publique. ...

Selon krebsonsecurity, Microsoft a publié des mises à jour corrigeant 137 vulnérabilités de sécurité dans ses systèmes d’exploitation Windows et logiciels pris en charge. Bien qu’aucune de ces failles ne soit actuellement exploitée activement, 14 d’entre elles sont classées comme critiques, pouvant permettre la prise de contrôle de PC vulnérables. Une vulnérabilité notable est CVE-2025-49719, une faille de divulgation d’informations dans SQL Server, affectant les versions depuis 2016. Bien que considérée comme moins susceptible d’être exploitée, la présence de code de preuve de concept en fait une priorité pour les entreprises concernées. Mike Walters d’Action1 souligne que cette faille peut être exploitée sans authentification, posant un risque potentiel pour la chaîne d’approvisionnement. ...

Microsoft a annoncé via son blog Talos Intelligence la publication de sa mise à jour de sécurité mensuelle pour juillet 2025. Cette mise à jour corrige 132 vulnérabilités dans une gamme de produits Microsoft. Parmi celles-ci, 14 vulnérabilités ont été classées comme “critiques” par Microsoft, soulignant leur potentiel impact élevé sur la sécurité des systèmes concernés. Les produits affectés par ces vulnérabilités incluent diverses solutions logicielles de Microsoft. Cette mise à jour est importante pour les utilisateurs et administrateurs système afin de protéger leurs infrastructures contre d’éventuelles exploitations de ces failles. ...

L’article publié sur cyberveille.decio.ch informe sur les derniers avis de sécurité publiés par Siemens, Schneider Electric et Aveva pour Patch Tuesday de juin 2025, concernant des vulnérabilités dans des solutions industrielles. Siemens a publié six nouveaux avis, dont le plus critique concerne une vulnérabilité de CVE-2025-40585 dans les solutions Siemens Energy Services utilisant le Elspec G5 Digital Fault Recorder (G5DFR). Cette faille de crédentiels par défaut permettrait à un attaquant de prendre le contrôle à distance du composant G5DFR. Des mises à jour sont en cours pour les Simatic S7-1500 CPUs affectés par des vulnérabilités dans le sous-système GNU/Linux. Des problèmes de gravité moyenne sont également signalés dans les dispositifs de communication industrielle utilisant le Sinec OS. ...

Selon un article de BleepingComputer, Qualcomm a récemment publié des patches de sécurité pour trois vulnérabilités zero-day critiques dans le pilote de l’unité de traitement graphique (GPU) Adreno. Ces failles affectent des dizaines de chipsets et sont activement exploitées dans des attaques ciblées. Les vulnérabilités découvertes dans le pilote Adreno pourraient permettre à des attaquants de compromettre la sécurité des appareils utilisant ces chipsets. Qualcomm a réagi en fournissant des correctifs pour atténuer ces failles et protéger les utilisateurs contre d’éventuelles exploitations malveillantes. ...