Vulnérabilité

Selon une actualité publiée par Security Week, Google a récemment déployé une mise à jour pour son navigateur Chrome afin de corriger trois vulnérabilités, dont une faille critique exploitée activement. La vulnérabilité, identifiée comme CVE-2025-5419, est une faille de type out-of-bounds read and write dans le moteur JavaScript V8 de Chrome. Cette faille permet à un attaquant distant d’exploiter potentiellement une corruption de la mémoire via une page HTML spécialement conçue, ce qui peut mener à l’exécution de code arbitraire. ...

Cet article, publié par une The Hacker News, met en lumière des découvertes récentes de failles de sécurité par l’unité de recherche sur les menaces de Qualys. Deux failles de divulgation d’information ont été identifiées dans les gestionnaires de core dumps apport (Ubuntu) et systemd-coredump (RHEL, Fedora), selon la Qualys Threat Research Unit (TRU). Ces vulnérabilités, référencées sous les identifiants CVE-2025-5054 et CVE-2025-4598, reposent sur des conditions de concurrence (race conditions) exploitables en local pour extraire des données sensibles, notamment les hashs de mots de passe du fichier /etc/shadow. ...

Des chercheurs en sécurité ont mis au jour plusieurs vulnérabilités critiques dans des applications préinstallées sur les smartphones Android des marques Ulefone et Krüger&Matz. Ces failles ont été rapportées par CERT Polska, une organisation polonaise spécialisée dans la cybersécurité. Les vulnérabilités identifiées exposent les utilisateurs à des risques significatifs, notamment le vol de données et la manipulation de l’appareil par des applications malveillantes. En effet, des applications tierces installées sur le même appareil peuvent exploiter ces failles sans nécessiter d’authentification, ce qui rend ces attaques particulièrement dangereuses. ...

Selon un rapport publié par un employé de Replit et examiné par Semafor, Lovable, une application populaire de vibe coding en Europe, est sous le feu des critiques pour ne pas avoir corrigé une faille de sécurité critique. Cette faille expose des informations sensibles des utilisateurs, telles que des noms, adresses e-mail, informations financières et clés API secrètes. L’employé de Replit a analysé 1 645 applications web créées par Lovable, et a découvert que 170 d’entre elles permettaient un accès non autorisé à ces données sensibles. Cette vulnérabilité a été rendue publique dans la National Vulnerabilities Database. ...

Selon un article de BleepingComputer, Qualcomm a récemment publié des patches de sécurité pour trois vulnérabilités zero-day critiques dans le pilote de l’unité de traitement graphique (GPU) Adreno. Ces failles affectent des dizaines de chipsets et sont activement exploitées dans des attaques ciblées. Les vulnérabilités découvertes dans le pilote Adreno pourraient permettre à des attaquants de compromettre la sécurité des appareils utilisant ces chipsets. Qualcomm a réagi en fournissant des correctifs pour atténuer ces failles et protéger les utilisateurs contre d’éventuelles exploitations malveillantes. ...

Selon un article publié par Bleeping Computer, des détails techniques concernant une vulnérabilité de gravité maximale dans Cisco IOS XE WLC ont été rendus publics. Cette faille, identifiée sous le code CVE-2025-20188, concerne un téléchargement de fichiers arbitraires. Cette vulnérabilité pourrait potentiellement permettre à un attaquant d’exploiter le système affecté pour exécuter des commandes arbitraires ou déployer des logiciels malveillants. L’accès à de tels détails techniques rapproche les acteurs malveillants de la création d’un exploit fonctionnel. ...

Deux failles critiques ont été découvertes dans vBulletin, un des logiciels de forum les plus utilisés au monde. L’une de ces failles est activement exploitée. Les vulnérabilités concernées : CVE-2025-48827 (score CVSS 10.0) : exécution de méthodes protégées via l’API. CVE-2025-48828 (score CVSS 9.0) : exécution de code à distance (RCE) via le moteur de templates. Ces failles touchent vBulletin versions 5.0.0 à 5.7.5 et 6.0.0 à 6.0.3, si le serveur utilise PHP 8.1 ou plus récent. ...

L’article de Le Monde Informatique met en lumière une vulnérabilité critique (CVE-2025-3928) affectant Commvault, exploitée par des pirates pour accéder à des secrets d’environnements SaaS, y compris Microsoft 365. La CISA (Cybersecurity and Infrastructure Security Agency) des États-Unis a émis un avertissement concernant l’exploitation de la faille CVE-2025-3928, qui affecte la solution de sauvegarde Metallic Microsoft 365 de Commvault hébergée dans Azure. Cette vulnérabilité a été exploitée par des acteurs malveillants, possiblement soutenus par des États, pour accéder à des secrets de clients. ...

GreyNoise a découvert une campagne d’exploitation furtive ciblant les routeurs ASUS, exploitant la vulnérabilité CVE-2023-39780 et d’autres techniques non corrigées. Cette activité, observée pour la première fois le 18 mars 2025, a été rendue publique après coordination avec des partenaires gouvernementaux et industriels. Les attaquants ont réussi à obtenir un accès non autorisé et persistant à des milliers de routeurs ASUS exposés à Internet. Cette opération semble être une tentative de créer un réseau distribué de dispositifs avec des portes dérobées, potentiellement pour former un botnet futur. ...

L’article publié par Sophos MDR relate une attaque ciblée impliquant un fournisseur de services gérés (MSP). Un acteur malveillant a exploité l’outil de surveillance et de gestion à distance (RMM), SimpleHelp, pour déployer le ransomware DragonForce sur plusieurs points de terminaison. L’attaque a été facilitée par une chaîne de vulnérabilités révélées en janvier 2025, notamment des failles de traversée de chemin, de téléchargement de fichiers arbitraires et d’élévation de privilèges (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726). Les attaquants ont également exfiltré des données sensibles, utilisant une tactique de double extorsion pour faire pression sur les victimes. ...