RCE

Selon TrendAI Research Team (extrait d’un rapport TrendAI Research Services), une vulnérabilité CVE-2026-20841 affectant le Bloc‑notes Windows a été analysée et corrigée par Microsoft en février 2026. Le bug, découvert initialement par Cristian Papa et Alasdair Gorniak (Delta Obscura), permet une exécution de code arbitraire suite à une validation insuffisante des liens Markdown traités par Notepad. • Produits/versions concernés : Windows Notepad (version moderne avec rendu Markdown et fonctionnalités Copilot). Le rendu Markdown est déclenché pour les fichiers avec extension .md, déterminé via une comparaison de chaîne fixe par l’appel interne sub_1400ED5D0(). Le clic sur les liens est géré par sub_140170F60(), qui filtre insuffisamment l’URI avant de l’envoyer à ShellExecuteExW(). Des URI malicieuses (ex. file://, ms-appinstaller://) peuvent ainsi mener à l’exécution de commandes/fichiers dans le contexte de l’utilisateur. Remarque : toute séquence « \ » est normalisée en « \ » avant l’appel. ...

Selon un billet technique publié par Olivier Laflamme (26 février 2026), deux vulnérabilités critiques de type RCE affectent les robots Unitree Go2, co‑découvertes avec Ruikai (Pwn0), avec un calendrier de divulgation coordonné avec le Security Response Center de Unitree. — CVE-2026-27509. Nature: RCE non authentifiée via DDS. Sur le firmware V1.1.7, l’abus du DataWriter DDS exposé sur les topics rt/api/programming_actuator/* permet l’exécution arbitraire de Python en root. Le système Eclipse CycloneDDS (v0.10.2) est utilisé sans DDS-Sec; tout hôte du réseau peut rejoindre le domaine 0 et publier des messages structurés (Request_…) vers les topics concernés. La surface inclut des topics API (ex. programming_actuator request/response) découverts via multicast DDS, puis échangés en unicast. ...

Selon The Cyber Express, Firefox v147.0.4 corrige la vulnérabilité CVE-2026-2447, décrite comme un débordement de tampon du tas dans la bibliothèque libvpx, avec un risque élevé d’exécution de code à distance. 🛠️ Correctif: Firefox v147.0.4 🧩 Composant affecté: libvpx ⚠️ Vulnérabilité: CVE-2026-2447 — débordement de tampon du tas (heap buffer overflow) 💥 Impact potentiel: exécution de code à distance (RCE) 📈 Sévérité: haut risque Firefox (libvpx) – Correctif hors cycle pour une faille critique : CVE-2026-2447 Résumé Mozilla a publié une mise à jour de sécurité hors cycle pour corriger une vulnérabilité critique (heap buffer overflow) dans la bibliothèque libvpx utilisée pour décoder les vidéos VP8/VP9. Une exploitation via du contenu multimédia/piégé peut provoquer de la corruption mémoire et potentiellement mener à de l’exécution de code dans le contexte de l’utilisateur. ...

Selon BleepingComputer, Microsoft a corrigé une vulnérabilité d’« exécution de code à distance » affectant le Bloc-notes de Windows 11. La faille permettait à un attaquant d’exécuter des programmes locaux ou distants en incitant l’utilisateur à cliquer sur des liens Markdown spécialement conçus. L’exploitation se faisait sans afficher d’avertissements de sécurité Windows, augmentant le risque d’exécution involontaire de code. Microsoft a publié un correctif pour éliminer cette vulnérabilité au sein de Notepad (Bloc-notes) sur Windows 11. ...

Selon LayerX (par Roy Paz), une vulnérabilité d’exécution de code à distance (RCE) sans clic affecte les extensions Claude Desktop (MCP), permettant à un événement Google Agenda malveillant de déclencher l’exécution de code local avec privilèges. L’impact concerne plus de 10 000 utilisateurs actifs et environ 50 extensions DXT, avec un score CVSS de 10/10. ⚠️ Nature du problème: Les extensions Claude Desktop (serveurs MCP) s’exécutent sans sandbox et avec des privilèges système complets. Claude peut chaîner automatiquement des connecteurs à faible risque (ex. Google Agenda) vers des exécutables locaux à haut risque, sans consentement utilisateur. Cette violation des limites de confiance permet de transférer des données issues d’une source bénigne vers un contexte d’exécution privilégié. ...

Selon JFrog Security Research (research.jfrog.com), une nouvelle vulnérabilité OpenSSL, CVE-2025-15467, a été dévoilée: un débordement de pile susceptible d’entraîner une exécution de code à distance (RCE). Bien qu’aucun score CVSS officiel ne soit encore publié, OpenSSL la classe élevée, et JFrog estime qu’elle pourrait être évaluée critique par le NVD. ⚠️ La faille survient lors du traitement de CMS AuthEnvelopedData utilisant des chiffrements AEAD (ex. AES-GCM): l’IV extrait des paramètres ASN.1 peut être surdimensionné. OpenSSL le copie alors dans un tampon de pile de taille fixe sans vérifier la longueur (au-delà de EVP_MAX_IV_LENGTH), provoquant un débordement avant toute authentification. Un attaquant n’a donc pas besoin de clés valides: un message CMS spécialement conçu avec un IV trop grand suffit à causer un crash ou potentiellement une RCE. ...

Source : Cyera Research Labs (blog de recherche, 7 janvier 2026). L’article détaille une faille critique dans n8n entraînant une exécution de code à distance non authentifiée et explique la chaîne d’exploitation, l’impact et la correction disponible. 🚨 Problème et impact Vulnérabilité : CVE-2026-21858 (score CVSS 10.0) dans n8n. Type : exécution de code à distance (RCE) non authentifiée via confusion du Content-Type. Impact : prise de contrôle de serveurs n8n localement déployés, estimée à ~100 000 instances affectées. Correctif : mettre à jour en 1.121.0 ou ultérieur; aucun contournement officiel disponible. 🧩 Détails techniques (résumé fidèle) ...

Le Centre canadien pour la cybersécurité (Alerte AL25-020, 22 décembre 2025) publie une alerte sur une vulnérabilité critique affectant WatchGuard Fireware OS, en lien avec le bulletin du fournisseur du 18 décembre 2025 et son propre bulletin AV25-850 du 19 décembre 2025. 🚨 Description et impact La vulnérabilité CVE-2025-14733 est une écriture hors limite (CWE-787) dans le processus iked (Internet Key Exchange Daemon) utilisé par les connexions VPN IKEv2. Elle pourrait permettre à un attaquant éloigné et non authentifié d’exécuter du code arbitraire sur des dispositifs WatchGuard Firebox vulnérables. Sont concernés les VPN utilisateur mobile IKEv2 et les VPN de bureau local (BOVPN) IKEv2 lorsque un homologue passerelle dynamique est activé ou l’a déjà été. ⚠️ Exploitation ...

Selon BleepingComputer, le concours de hacking Zeroday Cloud à Londres a décerné 320 000 $ à des chercheurs pour des démonstrations de vulnérabilités critiques d’exécution de code à distance (RCE) affectant des composants utilisés dans l’infrastructure cloud. 🏆 Montant total des récompenses : 320 000 $. 🔧 Type de vulnérabilité : RCE (Remote Code Execution). ☁️ Périmètre touché : composants d’infrastructure cloud (non précisés dans l’extrait). 1) Contexte La Zeroday Cloud hacking competition s’est tenue à Londres et constitue la première compétition de sécurité dédiée exclusivement aux systèmes cloud. L’événement est organisé par Wiz Research, en partenariat avec Amazon Web Services (AWS), Microsoft et Google Cloud. Objectif : encourager la recherche offensive responsable en identifiant des vulnérabilités zero-day critiques, notamment des failles de Remote Code Execution (RCE), dans des composants clés du cloud. 2) Résultats globaux 320 000 USD attribués aux chercheurs 11 vulnérabilités zero-day démontrées 85 % de réussite sur 13 sessions de hacking Vulnérabilités affectant des composants centraux de l’écosystème cloud 3) Vulnérabilités mises en évidence Bases de données et observabilité Des failles critiques ont été exploitées dans : ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025. Une vulnérabilité critique d’exécution de code à distance non authentifiée, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitée à grande échelle depuis le 3 décembre 2025. Notée CVSS v3 10.0 (v4: 9.3), elle permet l’exécution de code via une seule requête HTTP avec les privilèges du processus serveur. Les paquets vulnérables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulé avant que des exploits légitimes (dont des web shells Next.js en mémoire) se généralisent; un CVE Next.js (CVE-2025-66478) a été marqué duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet). ...