Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.
Le résumé de la semaine
Au cours de la semaine passée, plusieurs vulnérabilités critiques ont été identifiées dans divers logiciels et équipements, mettant en lumière des failles de sécurité significatives.
OpenSSH a publié des mises à jour de sécurité corrigeant deux failles critiques qui exposaient les serveurs SSH aux attaques de type man-in-the-middle (MitM) et déni de service (DoS). L’une de ces vulnérabilités était présente dans le système depuis plus de dix ans, augmentant ainsi le risque d’exploitation à long terme. Ces failles permettaient aux attaquants d’intercepter le trafic entre les serveurs et les clients ou de provoquer des interruptions de service.
Des applications de surveillance, notamment Cocospy et Spyic, ont été découvertes exposant des données sensibles de millions d’utilisateurs en raison de failles de sécurité non corrigées. Ces applications, souvent utilisées pour surveiller des partenaires ou des enfants, ont laissé accessibles en ligne des informations telles que des adresses e-mail, des messages texte, des journaux d’appels et des photographies. Les développeurs de ces applications n’ont pas répondu aux sollicitations et n’ont pas encore corrigé ces vulnérabilités, laissant les données des utilisateurs à risque.
Parallèlement, une faille majeure a été découverte dans le plugin Jupiter X Core de WordPress, installé sur plus de 90 000 sites. Cette vulnérabilité permet à des attaquants authentifiés avec des privilèges de contributeur d’exécuter du code malveillant en téléchargeant des fichiers SVG compromis. Les administrateurs de sites utilisant ce plugin sont encouragés à appliquer les mises à jour de sécurité disponibles pour protéger leurs plateformes.
IBM a corrigé plusieurs failles dans sa plateforme OpenPages Governance, Risk, and Compliance (GRC) qui pouvaient permettre à des cybercriminels de détourner des sessions utilisateur, de voler des identifiants et de manipuler des données sensibles. Les correctifs disponibles s’appliquent aux versions 8.3 et 9.0 du logiciel.
Palo Alto Networks a alerté sur une faille critique dans ses pare-feu PAN-OS, actuellement exploitée par des cybercriminels pour contourner les systèmes d’authentification et compromettre des réseaux. Les administrateurs sont fortement encouragés à mettre à jour leurs systèmes pour se protéger contre ces attaques.
Citrix a publié des mises à jour de sécurité pour corriger une vulnérabilité critique dans NetScaler Console et NetScaler Agent qui pouvait permettre à des attaquants d’obtenir des privilèges élevés. Les utilisateurs de ces produits sont invités à appliquer les correctifs sans délai.
Microsoft a également corrigé une faille dans Power Pages qui permettait une élévation de privilèges. Cette vulnérabilité, utilisée dans des attaques récentes avant la publication du correctif, a été rapidement colmatée pour limiter les risques.
La Cybersecurity and Infrastructure Security Agency (CISA) a signalé qu’une faille dans Craft CMS est activement exploitée. Cette vulnérabilité permet aux attaquants d’exécuter du code malveillant à distance sur les serveurs non mis à jour.
Microsoft a augmenté les primes de son programme de bug bounty dédié à Copilot AI. Les chercheurs en sécurité peuvent désormais recevoir jusqu’à 5 000 dollars pour avoir signalé des vulnérabilités modérées dans les outils d’intelligence artificielle de l’entreprise.
Meta a distribué plus de 2,3 millions de dollars aux chercheurs en sécurité en 2024 grâce à son programme de bug bounty. Ce programme, qui existe depuis 2011, récompense les experts identifiant des failles sur ses plateformes comme Facebook, Instagram et WhatsApp.
LibreOffice a corrigé des vulnérabilités importantes qui permettaient aux attaquants d’écraser des fichiers et d’extraire des données sensibles via des documents malveillants. Ces failles affectaient à la fois les utilisateurs de bureau et les serveurs utilisant LibreOffice. Des mises à jour sont désormais disponibles pour les versions Enterprise et Community.
Des failles découvertes dans les imprimantes Xerox VersaLink C7025 pourraient permettre à des cybercriminels de capturer des identifiants Windows en exploitant les connexions LDAP et SMB/FTP. Les administrateurs sont invités à mettre à jour les firmwares et à renforcer les configurations de sécurité.
Juniper Networks a également publié des correctifs pour ses routeurs Session Smart et WAN Assurance. Une faille permettait à des attaquants de contourner les systèmes d’authentification et de prendre le contrôle administratif des dispositifs vulnérables. Les utilisateurs sont appelés à appliquer les dernières mises à jour pour éviter tout risque.
Les vulnérabilités de la semaine
De nouvelles failles OpenSSH exposent les serveurs SSH aux attaques MiTM et DoS
OpenSSH a publié des mises à jour de sécurité corrigeant deux vulnérabilités, une faille de type man-in-the-middle (MitM) et une faille de déni de service, l’une des failles ayant été introduite il y a plus de dix ans. […]

Une faille de sécurité dans les applications de stalkerware les plus populaires expose les données téléphoniques de millions de personnes
Cocospy et Spyic ont divulgué des informations sensibles. Les développeurs ne répondent pas et les bugs n’ont pas été corrigés. Les photos, messages, journaux d’appels et plus encore des personnes sont en danger. Adresses e-mail, messages texte, journaux d’appels, photographies et…

Winzip : les attaquants peuvent injecter du code malveillant via une fuite de sécurité
Une vulnérabilité dans Winzip permet aux attaquants d’injecter du code arbitraire en utilisant des archives manipulées. Une mise à jour corrige cela.

90 000 sites WordPress exposés à des attaques d’inclusion de fichiers locaux
Une vulnérabilité critique (CVE-2025-0366) dans le plugin WordPress Jupiter X Core, activement installé sur plus de 90 000 sites Web, a été divulguée le 6 janvier 2025. La faille permet aux attaquants authentifiés disposant de privilèges de niveau contributeur d’exécuter du code à distance via une inclusion de fichier local chaînée…

Une vulnérabilité d’IBM OpenPages permet aux attaquants de voler des informations d’authentification
IBM a corrigé plusieurs vulnérabilités de haute gravité dans sa plateforme OpenPages Governance, Risk, and Compliance (GRC) qui pourraient permettre à des attaquants de détourner des sessions utilisateur, de voler des informations d’authentification et de manipuler des données d’entreprise critiques. Les failles affectent les versions 8.3 et…

Citrix publie un correctif de sécurité pour la vulnérabilité d’escalade des privilèges de la console NetScaler
Citrix a publié des mises à jour de sécurité pour une faille de sécurité de haute gravité affectant NetScaler Console (anciennement NetScaler ADM) et NetScaler Agent qui pourrait entraîner une élévation des privilèges dans certaines conditions. La vulnérabilité, identifiée comme CVE-2024-12284, a reçu une alerte CVSS v4…

Palo Alto Networks identifie un nouveau bug de pare-feu comme exploité dans des attaques
Palo Alto Networks prévient que les pirates informatiques exploitent activement une faille critique de contournement d’authentification (CVE-2025-0108) dans les pare-feu PAN-OS, en l’associant à deux autres vulnérabilités pour pénétrer les appareils lors d’attaques actives. […]

Microsoft corrige le bug zero-day de Power Pages exploité dans les attaques
Microsoft a publié un bulletin de sécurité concernant une vulnérabilité d’élévation de privilèges de haute gravité dans Power Pages, que les pirates ont exploitée comme une faille zero-day dans les attaques. […]

La CISA signale une faille d’injection de code dans le CMS Craft comme exploitée dans des attaques
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) prévient qu’une faille d’exécution de code à distance de Craft CMS est exploitée dans des attaques. […]

Microsoft augmente les récompenses pour le programme de recherche de bugs de Copilot AI
Microsoft a annoncé ce week-end avoir étendu son programme de primes aux bugs Microsoft Copilot (AI) et augmenté les paiements pour les vulnérabilités de gravité modérée. […]

Meta a versé 2,3 millions de dollars aux chercheurs via le programme Bug Bounty
En 2024, Meta, la société mère de Facebook, Instagram et WhatsApp, a poursuivi son engagement en faveur de la cybersécurité en attribuant plus de 2,3 millions de dollars grâce à son programme de bug bounty. Cette initiative, qui a débuté en 2011, a désormais dépassé les 20 millions de dollars…

Les vulnérabilités de LibreOffice permettent aux attaquants d’écrire dans un fichier arbitraire et d’extraire des valeurs
Des vulnérabilités critiques dans LibreOffice (CVE-2024-12425 et CVE-2024-12426) permettent aux attaquants d’écraser des fichiers arbitraires et de récupérer des données système sensibles via des documents malveillants. Ces failles affectent à la fois les utilisateurs de bureau et les implémentations côté serveur, ce qui présente des risques importants pour les entreprises et les utilisateurs individuels qui s’appuient sur la solution…

Des failles dans l’imprimante multifonction Xerox VersaLink C7025 peuvent exposer les informations d’identification Windows Active Directory aux attaquants
Des failles dans l’imprimante multifonction Xerox VersaLink C7025 pourraient permettre aux attaquants de capturer les informations d’authentification via des attaques de type pass-back via les services LDAP et SMB/FTP. Les chercheurs de Rapid7 ont découvert des vulnérabilités dans les imprimantes multifonctions Xerox Versalink C7025 (MFP) qui pourraient permettre aux attaquants…

La vulnérabilité des routeurs intelligents Juniper Session pourrait permettre aux attaquants de contourner l’authentification
Juniper Networks a publié des mises à jour de sécurité pour corriger une faille de sécurité critique affectant les produits Session Smart Router, Session Smart Conductor et WAN Assurance Router qui pourrait être exploitée pour détourner le contrôle des appareils sensibles. Suivie sous le numéro CVE-2025-21589, la vulnérabilité…

(Re)découvrez la semaine passée:
Les vulnérabilités à suivre (17 fév 2025)
Découvrez les principales vulnérabilités à suivre cette semaine du 17 février 2025
