Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.
Le résumé de la semaine
Plusieurs failles de sécurité critiques ont été révélées cette semaine, touchant des systèmes largement utilisés dans les entreprises et les infrastructures industrielles. Citrix a corrigé deux vulnérabilités majeures affectant ses produits NetScaler, des outils utilisés pour gérer les connexions réseau et l’accès à distance. Ces failles permettaient à des personnes malveillantes d’accéder à des données sensibles ou de perturber le bon fonctionnement des réseaux. Les anciennes versions des produits concernées ne recevront pas de correctifs, ce qui laisse certains systèmes exposés.
Du côté de la recharge des véhicules électriques, une faiblesse technique a été découverte dans le boîtier Tesla Wall Connector, qui permet de recharger les voitures à domicile ou dans des lieux publics. Des chercheurs en sécurité ont réussi à prendre le contrôle du dispositif en moins de 20 minutes via le port de chargement, en profitant de failles dans le logiciel interne et les échanges de données.
Une autre faille critique touche le secteur des stations-service. Les consoles électroniques utilisées pour surveiller les réservoirs de carburant, fabriquées par Dover Fueling Solutions, peuvent être contrôlées à distance par des attaquants. Cela leur permettrait de modifier les opérations de ravitaillement ou d’installer des programmes malveillants. Un tel type de compromission pourrait avoir des conséquences graves sur l’approvisionnement et la sécurité des infrastructures de transport.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Au niveau automobile, des systèmes d’ouverture sans clé installés sur des véhicules Kia en Équateur présentent de sérieuses failles. Ces dispositifs utilisent une technologie obsolète basée sur des codes fixes, faciles à copier. Des chercheurs ont montré qu’il est possible de cloner le signal d’une clé légitime pour déverrouiller un véhicule, voire d’installer un code secret permettant d’en prendre le contrôle. Kia n’a pas encore apporté de solution malgré les alertes transmises, et le problème pourrait concerner d’autres pays de la région.
Dans le monde des logiciels professionnels, plusieurs correctifs ont été publiés pour des vulnérabilités graves. L’outil de sauvegarde Veeam, largement utilisé dans les entreprises, comportait une faille qui permettait à un utilisateur malveillant de s’introduire sur les serveurs. Le système Sitecore, utilisé pour gérer des sites web, souffrait d’un enchaînement de failles, dont l’une reposait sur un mot de passe intégré en dur dans le code, ce qui facilitait une prise de contrôle à distance. Le logiciel ASUS Armoury Crate, destiné aux ordinateurs Windows, permettait quant à lui d’obtenir des droits administrateur, rendant possible l’installation de programmes malveillants sans autorisation.
Côté Linux, deux failles ont été identifiées dans le composant udisks, qui gère les périphériques de stockage. Elles permettent à un utilisateur disposant d’un accès local d’obtenir les droits complets sur l’ordinateur. Ce type de vulnérabilité est particulièrement préoccupant sur les systèmes partagés ou les postes en entreprise.
Une méthode d’attaque inédite a également été découverte sur un outil de gestion de services très utilisé, Jira Service Management d’Atlassian. Des tickets de support malveillants peuvent interagir avec les systèmes d’intelligence artificielle intégrés, permettant à des attaquants de contourner les protections et d’accéder à des informations internes.
Enfin, Microsoft a annoncé qu’il allait régulièrement retirer de son système de mises à jour les pilotes d’anciens équipements, devenus obsolètes. L’objectif est de limiter les failles de sécurité potentielles liées à ces composants qui ne sont plus mis à jour par leurs fabricants.
Les vulnérabilités de la semaine
Microsoft va supprimer les pilotes hérités de Windows Update pour renforcer la sécurité
Microsoft a annoncé son intention de supprimer périodiquement les pilotes hérités du catalogue Windows Update afin d’atténuer les risques de sécurité et de compatibilité. […]
Des tickets d’assistance malveillants permettent aux pirates d’exploiter le protocole de contexte de modèle d’Atlassian
Une nouvelle catégorie de cyberattaques cible les organisations utilisant le protocole MCP (Model Context Protocol) d’Atlassian, exposant une faille critique à la frontière entre utilisateurs externes et internes. Des chercheurs ont démontré que des tickets d’assistance malveillants peuvent être utilisés pour exploiter les flux de travail basés sur l’IA…
Connecteur mural Tesla piraté via le port de charge en seulement 18 minutes
Des chercheurs en sécurité de Synacktiv ont piraté le connecteur mural Tesla via son port de charge en seulement 18 minutes, exposant ainsi des vulnérabilités critiques dans le micrologiciel et les protocoles de communication de l’appareil. Le connecteur mural Tesla et son architecture. Le connecteur mural Tesla est…
Une faille dans Dover Fueling Solutions permet aux attaquants de contrôler les opérations de ravitaillement
Une vulnérabilité critique récemment découverte dans les consoles ProGauge MagLink LX de Dover Fueling Solutions a provoqué une onde de choc dans le secteur mondial des infrastructures de carburant. Cette faille, identifiée comme CVE-2025-5310, permet à des attaquants distants de prendre le contrôle des opérations de ravitaillement, de manipuler la surveillance des réservoirs et…
La vulnérabilité du système d’entrée sans clé de KIA Ecuador expose des milliers de véhicules au vol
Une importante faille de sécurité a été découverte dans les véhicules KIA vendus en Équateur. Elle pourrait affecter des milliers de véhicules et les exposer à des techniques de vol sophistiquées. Danilo Erazo, chercheur indépendant en sécurité matérielle, a identifié des clés sans clé de rechange de marque KIA…
Les vulnérabilités de Citrix NetScaler ADC et Gateway permettent aux attaquants d’accéder à des données sensibles
Deux vulnérabilités de sécurité critiques ont été découvertes dans les produits NetScaler ADC et NetScaler Gateway, anciennement connus sous le nom de Citrix ADC et Gateway, permettant potentiellement aux attaquants d’accéder à des données sensibles et de compromettre la sécurité du réseau. Cloud Software Group, la société à l’origine de ces solutions réseau,…
Un bug dans ASUS Armory Crate permet aux attaquants d’obtenir des privilèges d’administrateur Windows
Une vulnérabilité de haute gravité dans le logiciel ASUS Armoury Crate pourrait permettre aux acteurs malveillants d’élever leurs privilèges au niveau SYSTÈME sur les machines Windows. […]
La chaîne d’exploitation du CMS Sitecore commence par un mot de passe « b » codé en dur
Une chaîne de vulnérabilités de Sitecore Experience Platform (XP) permet aux attaquants d’exécuter du code à distance (RCE) sans authentification pour violer et détourner des serveurs. […]
Une nouvelle faille Veeam RCE permet aux utilisateurs de domaines de pirater les serveurs de sauvegarde
Veeam a publié aujourd’hui des mises à jour de sécurité pour corriger plusieurs failles de Veeam Backup & Replication (VBR), notamment une vulnérabilité critique d’exécution de code à distance (RCE). […]
Une nouvelle faille udisks de Linux permet aux attaquants d’accéder à la racine des principales distributions Linux
Les attaquants peuvent exploiter deux vulnérabilités d’escalade de privilèges locaux (LPE) récemment découvertes pour obtenir des privilèges root sur les systèmes exécutant les principales distributions Linux. […]
(Re)découvrez la semaine passée:
Les vulnérabilités à suivre (16 juin 2025)
Découvrez les principales vulnérabilités à suivre cette semaine du 16 juin 2025
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
