RCE

Selon Ashes Cybersecurity (billet de recherche du 21 août 2025), une vulnérabilité 0‑day dans le pilote kernel « elastic-endpoint-driver.sys » d’Elastic EDR permettrait une chaîne d’attaque complète aboutissant à un bypass EDR, de la RCE, de la persistance et un DoS privilégié provoquant un BSOD sur les hôtes protégés. Le chercheur décrit une chaîne en quatre étapes: 1) contournement d’Elastic Agent/Elastic Defend via un loader C maison, 2) exécution de code à faible privilège sans détection, 3) persistance par chargement d’un pilote personnalisé interagissant avec « elastic-endpoint-driver.sys », 4) DoS persistant où le pilote d’Elastic adopte un comportement de type malveillant et peut rendre le système inutilisable 🚫. ...

Selon Kudelski Security (blog de recherche), un enchaînement de failles dans l’intégration de Rubocop par CodeRabbit a permis d’obtenir une exécution de code à distance (RCE) sur des serveurs de production, d’exfiltrer de nombreux secrets (dont la clé privée du GitHub App CodeRabbit) et, par ricochet, d’accéder en lecture/écriture à des dépôts GitHub installés (jusqu’à 1 M de dépôts). Les correctifs ont été déployés rapidement en janvier 2025, notamment la désactivation puis l’isolation de Rubocop. ...

Selon WatchTowr Labs, une vulnérabilité critique CVE-2025-25256 affecte FortiSIEM (versions 5.4 à 7.3.1), permettant une injection de commandes pré-authentification via le composant phMonitor exposé sur le port 7900, avec un risque de compromission complète du SIEM. Le problème réside dans l’usage non sûr de ShellCmd::addParaSafe dans la fonction handleStorageArchiveRequest du binaire C++ phMonitor. Des payloads XML malveillants peuvent injecter des commandes dans les champs archive_nfs_server_ip ou archive_nfs_archive_dir, lorsque archive_storage_type est défini sur « nfs » et que les deux paramètres (IP et répertoire) sont fournis. ...

Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnérabilités critiques SSL‑VPN permettant une exécution de code à distance sans authentification, avec un enchaînement allant de la compromission initiale à l’escalade de privilèges et à l’accès RDP. • Vulnérabilités exploitées et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dépassement de tampon sur le tas) et CVE‑2024‑21762 (écriture hors limites dans le démon sslvpnd) sont utilisées pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accéder de façon non autorisée à des FortiGate. ...

Source et contexte — SANS Internet Storm Center (ISC) publie un récapitulatif du Patch Tuesday de Microsoft d’août 2025, totalisant 111 vulnérabilités corrigées, dont 17 classées critiques, avec une zero‑day divulguée avant le patch. Aucune n’est signalée comme exploitée in the wild au moment de la publication. Vue d’ensemble 🛡️ — Les correctifs couvrent des risques majeurs d’exécution de code à distance (RCE) et d’élévation de privilèges (EoP). Le billet souligne l’importance d’appliquer rapidement les mises à jour afin de réduire l’exposition. ...

L’article publié le 1 août 2025 sur Socket.dev met en lumière une vulnérabilité critique dans le package @nestjs/devtools-integration. Cette faille permet aux attaquants de réaliser une exécution de code à distance (RCE) sur les machines des développeurs. La vulnérabilité exploite l’utilisation peu sécurisée du module Node.js vm pour le sandboxing du code, combinée à une attaque par falsification de requête intersite (CSRF). Les attaquants peuvent contourner la sandbox en manipulant les propriétés du constructeur et en exploitant les requêtes de type text/plain qui échappent aux restrictions CORS. ...

Eye Security a découvert une vulnérabilité 0-day critique dans SharePoint, identifiée comme CVE-2025-53770 et CVE-2025-53771, permettant une exécution de code à distance (RCE) sans authentification. Cette faille a été exploitée à grande échelle, compromettant plus de 400 systèmes à travers plusieurs vagues d’attaques. Les attaques ont commencé le 17 juillet 2025, avec une première vague détectée à partir de l’adresse IP 96.9.125[.]147. Les vagues suivantes ont été observées les 18, 19, et 21 juillet, avec des scripts d’exploitation publiés sur GitHub. Microsoft a publié des correctifs pour les versions vulnérables de SharePoint Server 2016/2019, mais les versions plus anciennes restent vulnérables. ...

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...

Cet article publié par Avi Lumelsky sur Oligo Security Research met en lumière une vulnérabilité critique d’exécution de code à distance (RCE) identifiée dans le MCP Inspector d’Anthropic. Cette faille, référencée sous le code CVE-2025-49596, a un score CVSS de 9.4, indiquant son niveau de gravité élevé. La vulnérabilité permet à des attaquants de réaliser des attaques basées sur le navigateur en exploitant des failles de rebinding DNS et de configuration par défaut non sécurisée. En visitant un site web malveillant, un développeur utilisant MCP Inspector pourrait voir son système compromis, permettant à un attaquant d’exécuter des commandes arbitraires, de voler des données, ou d’installer des portes dérobées. ...

L’article publié par insider-gaming met en garde les joueurs de Call of Duty: WW2 utilisant Game Pass sur PC contre des attaques par exécution de commande à distance (RCE). Les premiers rapports de cette vulnérabilité ont émergé il y a seulement quelques heures, mais certains utilisateurs soulignent que ce problème persiste depuis des années dans COD WW2. Les joueurs concernés ont partagé leurs expériences sur les réseaux sociaux, révélant l’ampleur et la gravité de la situation. ...