Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.
Le résumé de la semaine
Plusieurs vulnérabilités critiques ont été découvertes et exploitées cette semaine. La plus critique, une vulnérabilité affectant Ivanti Connect Secure, identifiée sous la référence CVE-2025-22457, fait actuellement l’objet d’une exploitation active. Cette faille, notée 9,0 sur l’échelle CVSS, repose sur un dépassement de tampon dans la pile. Elle permet l’exécution de code arbitraire à distance et a été exploitée pour déployer deux malwares différents. Ivanti a publié un correctif.
Dans le même registre des vulnérabilités activement exploitées, le logiciel de transfert de fichiers CrushFTP est ciblé par des attaques exploitant une faille critique de contournement de l’authentification. Les attaquants utilisent un code démonstratif accessible publiquement, ce qui accroît le risque de compromission, en particulier pour les instances non corrigées. La vulnérabilité permet un accès non autorisé aux interfaces de gestion du serveur.
Autre alerte majeure : la découverte d’une vulnérabilité RCE de gravité maximale dans Apache Parquet, une bibliothèque largement utilisée pour le traitement de données. Toutes les versions jusqu’à la 1.15.0 sont concernées. Cette faille ouvre la voie à l’exécution de code arbitraire à distance, ce qui pourrait être exploité dans des chaînes d’approvisionnement intégrant ce composant.
Sur le plan des attaques par chaîne d’approvisionnement, un incident lié à l’outil open-source SpotBugs a permis de mieux comprendre l’origine d’une attaque ayant visé plusieurs projets GitHub, dont des workflows liés à Coinbase. Les attaquants ont compromis un Personal Access Token utilisé dans les actions GitHub de SpotBugs.
Enfin, une faille dans l’API de la fonctionnalité Call Filter de Verizon a permis à des utilisateurs d’accéder aux historiques d’appels entrants d’autres abonnés. L’API concernée ne vérifiait pas correctement l’identité des utilisateurs, exposant ainsi des données sensibles via des requêtes non authentifiées. Cette vulnérabilité a été maintenant corrigée.
Les vulnérabilités de la semaine
Une faille critique d’Ivanti activement exploitée pour déployer les logiciels malveillants TRAILBLAZE et BRUSHFIRE
Ivanti a dévoilé les détails d’une vulnérabilité de sécurité critique, désormais corrigée, affectant Connect Secure et faisant l’objet d’une exploitation active. Cette vulnérabilité, identifiée comme CVE-2025-22457 (score CVSS : 9,0), concerne un dépassement de tampon de pile.
Le vol de jetons d’accès SpotBugs identifié comme la cause principale de l’attaque de la chaîne d’approvisionnement GitHub
L’attaque en cascade de la chaîne d’approvisionnement qui a initialement ciblé Coinbase avant de se généraliser pour cibler les utilisateurs de l’action GitHub « tj-actions/changed-files » a été retracée jusqu’au vol d’un jeton d’accès personnel (PAT) lié à SpotBugs.
Une faille RCE de gravité maximale découverte dans Apache Parquet, largement utilisé
Une vulnérabilité d’exécution de code à distance (RCE) de gravité maximale a été découverte affectant toutes les versions d’Apache Parquet jusqu’à la version 1.15.0 incluse. […]
Un bug critique de contournement d’authentification dans CrushFTP est désormais exploité dans les attaques
Les attaquants ciblent désormais une vulnérabilité critique de contournement d’authentification dans le logiciel de transfert de fichiers CrushFTP en utilisant des exploits basés sur un code de preuve de concept disponible publiquement. […]
Une faille de l’API Verizon Call Filter a exposé l’historique des appels entrants des clients
Une vulnérabilité dans la fonction de filtrage des appels de Verizon permettait aux clients d’accéder aux journaux d’appels entrants d’un autre numéro Verizon Wireless via une requête API non sécurisée. […]
(Re)découvrez la semaine passée:
Les vulnérabilités à suivre (31 mar 2025)
Découvrez les principales vulnérabilités à suivre cette semaine du 31 mars 2025
