RCE

Source: Cisco Security Advisory (sec.cloudapps.cisco.com). Cisco publie un avis sur une vulnérabilité d’exécution de code à distance (RCE) via des services web/SSL impactant plusieurs familles de produits lorsque certaines fonctionnalités sont activées, et fournit des commandes pour déterminer si un équipement est exposé. Produits affectés (selon configuration) et identifiants internes: Secure Firewall ASA/FTD (CSCwo18850), IOS avec Remote Access SSL VPN activé (CSCwo35704), IOS XE avec Remote Access SSL VPN activé (CSCwo35704, CSCwo35779), et IOS XR 32-bit sur routeurs ASR 9001 avec HTTP server activé (CSCwo49562). Cisco NX-OS n’est pas affecté. ...

Selon BleepingComputer, la CISA (agence américaine de cybersécurité) avertit que des acteurs menaçants exploitent une vulnérabilité d’exécution de commandes à distance critique affectant CentOS Web Panel (CWP). ⚠️ Points clés mis en avant par l’article: Type de vulnérabilité: exécution de commandes à distance (RCE) critique Produit affecté: CentOS Web Panel (CWP) Statut: exploitation active par des acteurs malveillants L’article signale une alerte de la CISA mettant l’accent sur l’exploitation en cours de cette faille, sans autres détails techniques fournis dans l’extrait. ...

Selon Picus Security, Microsoft a publié un correctif hors bande pour CVE-2025-59287, une vulnérabilité critique d’exécution de code à distance affectant Windows Server Update Services (WSUS), déjà exploitée dans la nature. Nature de la faille: désérialisation .NET non sécurisée dans la méthode Microsoft.UpdateServices.Internal.Authorization.EncryptionHelper.DecryptData() qui appelle BinaryFormatter.Deserialize() sur des données d’AuthorizationCookie contrôlables par l’utilisateur, sans validation de type. Impact: RCE avec privilèges SYSTEM de manière non authentifiée via des requêtes SOAP malveillantes envoyées aux services web de reporting WSUS. Produits/Composants concernés: WSUS (ports par défaut 8530/8531), endpoint /ClientWebService/Client.asmx (méthode GetCookie). Technique d’exploitation (résumé) 🚨: ...

Source: Huntress — Le billet détaille l’exploitation active de la vulnérabilité CVE-2025-59287 dans Windows Server Update Services (WSUS), une exécution de code à distance (RCE) via désérialisation de l’AuthorizationCookie, observée dès 2025-10-23 23:34 UTC. Microsoft a publié un correctif hors cycle le 23 octobre, et Huntress a constaté des attaques chez quatre clients. Produits/portée: WSUS exposé publiquement sur les ports par défaut 8530/TCP (HTTP) et 8531/TCP (HTTPS). Vulnérabilité: Désérialisation sur l’AuthorizationCookie menant à RCE (CVE-2025-59287). Un billet de Hawktrace fournit un PoC. Impact observé: Environ 25 hôtes susceptibles dans la base de partenaires de Huntress; exploitation attendue comme limitée car WSUS est rarement exposé. 🛠️ Comportements et chaîne d’exécution observés: ...

Selon Wordfence (billet de blog cité en référence), une campagne d’exploitation à grande échelle cible des vulnérabilités d’installation arbitraire de plugins dans GutenKit et Hunk Companion, deux extensions WordPress totalisant plus de 48 000 installations actives. ⚠️ Les attaquants, sans authentification, abusent d’endpoints REST API exposés dont le permission_callback est défini à __return_true, permettant l’installation de plugins malveillants et une exécution de code à distance (RCE). Wordfence indique avoir bloqué plus de 8,7 millions de tentatives depuis le déploiement de règles de pare-feu. La campagne a repris le 8 octobre 2025, environ un an après la divulgation initiale, montrant un intérêt persistant pour ces failles non corrigées. ...

Selon un extrait d’actualité publié le 20.10.2025, près de 76 000 appliances WatchGuard Firebox exposées sur Internet restent vulnérables à une faille critique (CVE-2025-9242) permettant à un attaquant distant d’exécuter du code sans authentification. Points clés: Produits concernés: WatchGuard Firebox (appliances de sécurité réseau) Vulnérabilité: CVE-2025-9242 (criticité élevée) Impact: Exécution de code à distance sans authentification (RCE) Exposition: ~76 000 appareils visibles sur le web public Tactiques/Techniques (TTPs): Exécution de code à distance (RCE) sans authentification par un attaquant distant Il s’agit d’une brève de vulnérabilité visant à signaler l’ampleur de l’exposition et la gravité du risque identifié. ...

Selon BleepingComputer, une vulnérabilité de haute gravité (CVE-2025-62518) affecte la bibliothèque Rust désormais abandonnée async-tar ainsi que ses forks, et peut être exploitée pour obtenir une exécution de code à distance (RCE) sur des systèmes exécutant des logiciels non patchés. L’article met en avant le caractère critique de la faille et le fait qu’elle touche non seulement le projet d’origine, mais aussi ses dérivés. ⚠️ La conséquence principale est la possibilité pour un attaquant d’exécuter du code arbitraire à distance. ...

Source: Searchlight Cyber (slcyber.io). Contexte: billet de recherche technique de Tomais Williamson analysant CVE-2025-54236 (« SessionReaper ») dans Magento/Adobe Commerce, son patch, et un enchaînement d’exploitation conduisant à une exécution de code à distance non authentifiée sur certaines configurations. • Nature de la faille: bypass de fonctionnalité de sécurité menant à une désérialisation imbriquée dans l’API Web de Magento. Adobe qualifie l’issue de « security feature bypass », mais la recherche montre un impact critique: RCE sur les instances utilisant un stockage de session basé sur fichiers; des configurations non-fichier (ex. Redis) peuvent aussi être concernées mais différemment. ...

Selon HawkTrace, une faille critique CVE-2025-59287 affecte Microsoft Windows Server Update Services (WSUS), permettant une exécution de code à distance non authentifiée avec privilèges SYSTEM via la désérialisation non sécurisée d’objets AuthorizationCookie. ⚠️ Impact principal: exécution de code à distance (RCE) non authentifiée conduisant à une compromission complète du système. Le problème réside dans le flux GetCookie() où des données de cookie chiffrées sont décryptées (AES-128-CBC) puis désérialisées via BinaryFormatter sans contrôle strict de type. ...

Source: watchTowr Labs – billet technique approfondi analysant, reproduisant et exploitant CVE-2025-9242 dans WatchGuard Fireware OS, avec diff de correctif, chemin protocolaire IKEv2, primitives d’exploitation et artefacts de détection. • Vulnérabilité et impact Type: Out-of-bounds Write / débordement de tampon sur la pile dans le processus iked (IKEv2). Impact: exécution de code arbitraire pré-auth sur un appliance périmétrique 🧱 (service IKEv2 exposé, UDP/500). Score: CVSS v4.0 = 9.3 (Critique). Produits/Services affectés: Mobile User VPN (IKEv2) et Branch Office VPN (IKEv2) configuré avec dynamic gateway peer. Cas résiduel: même après suppression de ces configs, l’appliance peut rester vulnérable si une BOVPN vers un static gateway peer est encore configurée. Versions affectées: 11.10.2 → 11.12.4_Update1, 12.0 → 12.11.3, et 2025.1. • Analyse du correctif et cause racine ...