Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.
Le résumé de la semaine
La semaine a été marquée par une série de vulnérabilités critiques affectant aussi bien des services de messagerie que des infrastructures réseau et des solutions de stockage, soulignant l’importance de maintenir une surveillance continue et des mises à jour rigoureuses.
WhatsApp a corrigé une faille de type spoofing (CVE-2025-30401) dans sa version Windows antérieure à 2.2450.6. Cette vulnérabilité permettait à un attaquant d’envoyer des fichiers malveillants déguisés, déclenchant potentiellement une exécution de code à distance si l’utilisateur interagissait avec la pièce jointe. Dans le même écosystème, WhatsApp a récemment mis un terme à une campagne de surveillance ciblée impliquant le spyware Graphite, développé par Paragon. Cette campagne exploitait une faille « zero-click » pour infecter les appareils de journalistes et d’activistes via des fichiers PDF envoyés dans des discussions de groupe. Meta a confirmé avoir neutralisé cette attaque en décembre 2024, sans qu’une mise à jour client ne soit nécessaire.
Dans l’environnement WordPress, plus de 100 000 sites étaient vulnérables en raison d’une faille (CVE-2025-3102) dans le plugin SureTriggers, désormais renommé OttoKit. Le défaut réside dans une mauvaise vérification de l’authentification via l’API REST, permettant la création de comptes administrateurs sans contrôle. Exploitée activement dès sa divulgation, cette faille pouvait conduire à une prise de contrôle totale du site, à l’injection de malwares ou au détournement de trafic. Les administrateurs sont vivement invités à mettre à jour vers la version 1.0.79.
Fortinet a alerté sur une faille critique (CVE-2024-48887) affectant l’interface graphique de FortiSwitch. Elle permettait à un attaquant non authentifié de modifier des mots de passe administrateurs à distance. Classée 9.3/10 sur l’échelle CVSS, cette vulnérabilité impose une mise à jour immédiate pour éviter des compromissions massives.
Dell Technologies a, de son côté, publié une alerte concernant plusieurs vulnérabilités graves dans son système de fichiers PowerScale OneFS. La plus préoccupante (CVE-2025-27690) repose sur l’usage de mots de passe par défaut et permet à un attaquant distant non authentifié de s’emparer de comptes à privilèges élevés. Des vulnérabilités supplémentaires (CVE-2025-26330, CVE-2025-22471, CVE-2025-26480) permettent quant à elles un contournement des autorisations ou un déni de service. Dell recommande vivement une migration vers la version 9.10.1.1 ou ultérieure.
Ivanti a vu l’une de ses vulnérabilités (CVE-2025-22457) intégrée au catalogue KEV de la CISA. Cette faille, un débordement de tampon dans des versions obsolètes de Connect Secure et Pulse Secure, est activement exploitée par le groupe UNC5221, lié à la Chine. L’exploitation permet l’installation de malwares comme TRAILBLAZE, BRUSHFIRE et SPAWN, ciblant principalement des dispositifs en périphérie du réseau. Les administrateurs sont appelés à déployer les correctifs disponibles dès que possible.
Dans l’écosystème Android, Google a corrigé 62 vulnérabilités dans son bulletin d’avril 2025, dont deux failles zero-day exploitées activement dans des attaques ciblées. Ces correctifs visent à colmater des brèches pouvant mener à l’exécution de code ou à des élévations de privilèges sur des appareils mobiles.
Enfin, Microsoft a confirmé que le groupe RansomEXX exploitait une vulnérabilité zero-day dans le système CLFS (Common Log File System) de Windows. Cette faille, d’une sévérité élevée, permettait une élévation de privilèges jusqu’au niveau SYSTEM, facilitant des actions malveillantes sur les systèmes compromis.
Les vulnérabilités de la semaine
WhatsApp a corrigé une faille d’usurpation d’identité qui pouvait permettre l’exécution de code à distance
WhatsApp a corrigé une faille, identifiée comme CVE-2025-30401, qui pouvait permettre à des attaquants de tromper les utilisateurs et d’exécuter du code à distance. WhatsApp a publié une mise à jour de sécurité pour corriger une vulnérabilité, identifiée comme CVE-2025-30401.
Fortinet recommande vivement la mise à niveau de FortiSwitch pour corriger une faille critique liée au changement de mot de passe administrateur.
Fortinet a publié des mises à jour de sécurité pour corriger une faille de sécurité critique affectant FortiSwitch et susceptible de permettre à un attaquant de modifier les mots de passe sans autorisation. Cette vulnérabilité, identifiée comme CVE-2024-48887, a un score CVSS de 9,3 sur un maximum de…
100 000 sites WordPress vulnérables à une vulnérabilité de création malveillante
Une vulnérabilité critique affectant plus de 100 000 sites Web WordPress a été découverte dans le plugin WordPress SureTriggers, permettant potentiellement aux attaquants de créer des comptes d’administrateur non autorisés. La faille, identifiée comme CVE-2025-3102 avec un score CVSS de 8,1 (élevé), affecte toutes les versions du…
Les experts en sécurité informatique craignent que la Chine ne riposte aux tarifs douaniers par une attaque Typhoon
Les escrocs tirent déjà profit des fausses factures pour les frais d’importation des taxes de guerre mondiale Alors que la guerre commerciale entre l’Amérique et la Chine s’intensifie, certains experts en sécurité informatique et en politique craignent que Pékin ne riposte dans le cyberespace.
Dell met en garde contre des vulnérabilités critiques de PowerScale OneFS permettant la prise de contrôle des comptes utilisateurs
Dell Technologies a publié un avis de sécurité critique alertant ses clients sur plusieurs vulnérabilités graves dans PowerScale OneFS, qui pourraient permettre à des attaquants de prendre le contrôle de comptes utilisateurs à privilèges élevés. La faille la plus grave, avec un score CVSS de 9,8, pourrait permettre l’accès à distance non authentifié…
Vulnérabilité de création d’administrateur du plugin WordPress OttoKit en cas d’exploitation active
Une faille de sécurité de grande gravité récemment révélée affectant OttoKit (anciennement SureTriggers) a été activement exploitée quelques heures après sa divulgation publique. Cette vulnérabilité, identifiée comme CVE-2025-3102 (score CVSS : 8,1), est un bug de contournement d’autorisation qui pourrait permettre…
La CISA américaine ajoute les failles Ivanti Connect Secure, Policy Secure et ZTA Gateways à son catalogue de vulnérabilités connues exploitées
L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) ajoute les failles Ivanti Connect Secure, Policy Secure et ZTA Gateways à son catalogue de vulnérabilités connues. L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté…
Google corrige les failles zero-day d’Android exploitées dans des attaques et 60 autres failles
Google a publié des correctifs pour 62 vulnérabilités dans la mise à jour de sécurité d’Android d’avril 2025, dont deux zero-day exploitées dans des attaques ciblées. […]
Microsoft : une faille zero-day Windows CLFS exploitée par un gang de ransomware
Microsoft affirme que le gang de ransomware RansomEXX a exploité une faille zero-day de haute gravité dans le système de fichiers journaux communs de Windows pour obtenir des privilèges SYSTEM sur les systèmes des victimes. […]
(Re)découvrez la semaine passée:
Les vulnérabilités à suivre (7 avr 2025)
Découvrez les principales vulnérabilités à suivre cette semaine du 7 avril 2025
