SSRF

Selon CrowdSec, une vague d’exploitation ciblée de la vulnérabilité critique CVE-2026-21859 affectant Mailpit a été observée, avec une montée en puissance récente des tentatives. • Contexte et paysage de la menace 🚨 Premières tentatives détectées le 11 février 2026. Attaques « hautement sélectives » et à forte composante de renseignement, typiques de campagnes sophistiquées/APT cherchant un point d’appui initial ou des opportunités de mouvement latéral. Plus de 130 IPs malveillantes rapportées, avec une augmentation marquée la semaine passée. • Produit et impact ...

Source: CrowdSec — Le billet signale une exploitation active de la vulnérabilité CVE-2025-56520 affectant Dify, avec détection par le réseau CrowdSec et un suivi de la menace depuis le 11 février 2026. • Vulnérabilité et portée: La faille est une SSRF au sein du composant RemoteFileUploadApi de Dify (jusqu’à la version 1.6.0), déclenchée via l’endpoint /console/api/remote-files/. Dify, plateforme open source d’orchestration d’agents IA/LLM (env. 130k étoiles GitHub), est largement déployée, ce qui expose de nombreux environnements. ...

Source: GreyNoise Labs — Dans un billet de recherche s’appuyant sur une infrastructure honeypot Ollama, GreyNoise rapporte 91 403 sessions d’attaque (octobre 2025–janvier 2026) et détaille deux campagnes distinctes, corroborant et étendant les constats de Defused. Un SITREP avec IOCs a été transmis aux clients. • Campagne SSRF (oct. 2025–janv. 2026) 🚨: exploitation de SSRF pour forcer des connexions sortantes vers l’infrastructure des attaquants. Deux vecteurs ciblés: Ollama (model pull) via injection d’URL de registre malveillantes et Twilio SMS webhook (MediaUrl) provoquant des connexions sortantes. Forte poussée à Noël (1 688 sessions en 48 h). Utilisation de l’infrastructure OAST de ProjectDiscovery pour valider les callbacks SSRF. Un JA4H unique (po11nn060000…) dans 99% des attaques indique un outillage commun, probablement Nuclei; 62 IPs dans 27 pays, empreintes cohérentes suggérant des VPS plutôt qu’un botnet. Évaluation: probablement chercheurs/bug bounty « grey-hat ». ...

Dans un billet technique publié le 1 janvier 2026, un chercheur en sécurité raconte comment il a abouti à une chaîne d’exploits menant à une RCE pré-auth sur LogPoint SIEM/SOAR après une première divulgation responsable de failles majeures découverte en 24 heures. Le contexte: l’analyse commence par un accès en labo à l’appliance (basée sur Ubuntu), la récupération des sources Python (en partie livrées en .pyc) via décompilation, et la cartographie de l’architecture: un backend historique en Python sur l’hôte et des microservices Java en Docker pour la partie SOAR. ...

Dans un billet technique publié le 23 décembre 2025, l’auteur explore l’abus de l’en-tête SMTP List‑Unsubscribe (RFC 2369) et montre comment son implémentation dans des webmails peut mener à des XSS et SSRF. L’article rappelle que de nombreux clients rendent un bouton « se désabonner » à partir de List‑Unsubscribe, parfois sous forme de lien client (URI) ou via une requête serveur. Des URI non filtrées (ex. schéma javascript:) peuvent déclencher des exécutions de script côté client, tandis que des requêtes côté serveur non restreintes peuvent mener à des SSRF. ...

Selon Imperva (blog), une vulnérabilité critique CVE-2025-61882 affecte Oracle E‑Business Suite 12.2.3 à 12.2.14, ciblant le composant Concurrent Processing/BI Publisher Integration, et fait l’objet d’exploitations actives à grande échelle. 🔥 Vulnérabilité et impact: Il s’agit d’une exécution de code à distance pré-authentification (RCE). Les fonctions finance, RH et ERP cœur sont impactées, exposant les organisations à un risque majeur. 🚨 Exploitation active: Des acteurs multiples, dont Cl0p, exploitent cette faille depuis août. Imperva rapporte plus de 557 000 tentatives d’attaque en une seule journée au niveau mondial. ...

Source: watchTowr Labs — Les chercheurs publient une analyse technique de la chaîne d’exploitation derrière CVE‑2025‑61882, une RCE pré‑authentifiée visant Oracle E‑Business Suite (EBS), après l’alerte officielle d’Oracle confirmant une exploitation active et l’impact sur les versions 12.2.3 à 12.2.14. — Contexte et impact Oracle a diffusé une alerte indiquant une vulnérabilité exploitable à distance sans authentification pouvant conduire à une exécution de code. watchTowr Labs a obtenu un PoC et a reconstitué la chaîne d’attaque, composée d’« au moins cinq » failles orchestrées, démontrant une maîtrise approfondie d’Oracle EBS et un large périmètre d’impact. — Chaîne d’exploitation (vue d’ensemble) ...