XSS

Source: Ethiack (blog). Recherche de Bruno Mendes (04/08/2025) détaillant une technique d’injection JavaScript/XSS via pollution de paramètres HTTP en ASP.NET pour contourner des WAF, avec tests sur 17 configurations et essais d’un hackbot autonome. 🧩 Technique et vecteur: la pollution de paramètres HTTP exploite les différences de parsing entre WAF, ASP.NET et navigateur. En ASP.NET, des paramètres duplicés sont concaténés par des virgules (HttpUtility.ParseQueryString), ce qui, combiné à l’opérateur virgule en JavaScript, permet d’assembler un code exécutable sans déclencher des signatures WAF. Exemple: /?q=1’&q=alert(1)&q=‘2 devient 1’,alert(1),‘2 dans une chaîne JS, exécutant alert(1). ...

Cette analyse de Kaspersky (securelist) examine en profondeur le rôle des cookies de navigateur comme composants de sécurité et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformité (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des données personnelles. L’étude détaille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle décrit la capture de session via HTTP non chiffré, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prédéfinis, ainsi que le cookie tossing exploitant des vulnérabilités de sous-domaine. ...

Source: Cybernews (18.08.2025). Des chercheurs de Cybernews ont découvert des vulnérabilités critiques dans l’implémentation du chatbot IA « Lena » de Lenovo (propulsé par GPT‑4), permettant des attaques de type Cross‑Site Scripting (XSS) déclenchées par un simple prompt et pouvant mener au vol de cookies de session, à l’exécution de scripts non autorisés sur des machines de l’entreprise et potentiellement à une compromission de la plateforme de support client. ⚠️ Points clés: les failles proviennent d’une sanitisation insuffisante des entrées utilisateur et des sorties du chatbot, de l’absence de vérification par le serveur web du contenu produit par le chatbot, de l’exécution de code non vérifié et du chargement de ressources web arbitraires. Cybernews a divulgué de manière responsable; Lenovo a accusé réception et a protégé ses systèmes. ...

L’article publié par Adam Kues le 1er juillet 2025 décrit une série de vulnérabilités XSS persistantes découvertes dans Adobe Experience Manager (AEM) Cloud. Ces vulnérabilités ont été exploitées à trois reprises, permettant l’exécution de scripts malveillants sur chaque site utilisant cette plateforme. Les chercheurs ont d’abord remarqué que le chemin /.rum était utilisé pour charger des fichiers JavaScript depuis un CDN, ce qui a permis d’exploiter des failles de sécurité pour injecter des scripts malveillants. La première attaque a tiré parti d’une erreur de validation de chemin, permettant de charger un fichier HTML malveillant depuis un package NPM hébergé sur Unpkg. ...

En mai 2025, une publication de la société Starlabs révèle une vulnérabilité critique dans Visual Studio Code (VS Code version <= 1.89.1) qui permet une escalade d’un bug XSS en exécution de code à distance (RCE), même en mode restreint. VS Code, qui fonctionne sur Electron, utilise des processus de rendu en bac à sable communiquant avec le processus principal via le mécanisme IPC d’Electron. La faille réside dans le mode de rendu minimal des erreurs récemment introduit pour les notebooks Jupyter, permettant l’exécution de code JavaScript arbitraire dans le WebView de l’application VS Code pour le rendu des notebooks. ...