Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.
Faits marquants de la semaine
- Une faille critique dans Salesforce expose des données CRM via une injection indirecte.
- Des hackers ont exploité une vulnérabilité GeoServer pour infiltrer une agence fédérale américaine.
- Une vulnérabilité dans OnePlus permet l’accès aux SMS sans permission.
- Cisco a corrigé une vulnérabilité zero-day dans IOS et IOS XE exploitée activement.
Les mises à jour de sécurité pour divers logiciels sont cruciales pour contrer les vulnérabilités récemment découvertes. Des failles critiques ont été identifiées dans des systèmes largement utilisés, impactant potentiellement des millions d’utilisateurs et d’organisations. Les attaques exploitant ces vulnérabilités soulignent l’importance d’une réponse rapide et efficace pour minimiser les risques. Les entreprises concernées ont commencé à déployer des correctifs, mais certaines vulnérabilités restent non corrigées, exposant les systèmes à des attaques potentielles. Ce tour d’horizon met en lumière les défis actuels en matière de cybersécurité et l’importance de rester informé et vigilant face à ces menaces.
Une vulnérabilité majeure dans les smartphones OnePlus a été découverte, permettant l’accès aux données SMS et MMS sans autorisation. Cette faille, identifiée comme CVE-2025-10184, affecte plusieurs versions d’OxygenOS. OnePlus a reconnu le problème et prévoit de déployer un correctif à partir de mi-octobre, selon 9to5Google. Cette vulnérabilité résulte de modifications apportées à l’application Telephony, exposant les messages à des applications installées sans interaction utilisateur.
Google a publié une dernière mise à jour pour Chrome 140 avant le lancement de Chrome 141 début octobre. Cette mise à jour corrige plusieurs vulnérabilités, notamment CVE-2025-10890, une fuite d’informations dans le moteur JavaScript V8, classée à haut risque. Les deux autres vulnérabilités, CVE-2025-10891 et CVE-2025-10892, sont des débordements d’entiers également dans le moteur V8. Ces failles n’ont pas été exploitées dans la nature, selon PCWorld. Les navigateurs basés sur Chromium, comme Microsoft Edge et Brave, doivent maintenant suivre le mouvement avec des mises à jour similaires.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Une faille dans GeoServer, identifiée comme CVE-2024-36401 avec un score CVSS de 9.8, a été exploitée pour compromettre une agence fédérale américaine. Les attaquants ont utilisé des outils comme China Chopper pour maintenir un accès persistant et ont exploité la vulnérabilité Dirty COW pour escalader les privilèges. Cette attaque a duré trois semaines avant d’être détectée par le SOC de l’agence, comme le rapporte SecurityWeek. L’agence était dans la fenêtre de correction requise mais n’a pas détecté l’activité à temps, soulignant l’importance d’une protection des points de terminaison.
Une vulnérabilité critique dans Apache Airflow, CVE-2025-54831, permet aux utilisateurs en lecture seule d’accéder à des détails de connexion sensibles via l’API et l’interface web. Cette faille, présente dans la version 3.0.3, compromet le traitement « écriture seule » des secrets dans les connexions. Les mainteneurs d’Apache Airflow ont révélé ce problème de sécurité qui pourrait entraîner une exposition non autorisée de données sensibles, comme le détaille GBHackers. Cette vulnérabilité met en lumière les risques associés à une gestion inadéquate des permissions d’accès.
Des hackers soutenus par des États ont exploité une faille de commande dans Libraesva Email Gateway, identifiée comme CVE-2025-59689. Cette vulnérabilité permet l’exécution de commandes arbitraires via des pièces jointes compressées malveillantes. Un incident confirmé a été attribué à une entité étatique hostile, selon SecurityAffairs. La faille affecte les versions de Libraesva ESG de 4.5 (plus soutenue) à 5.5, mais seules les versions 5.x ont reçu un correctif, soulignant l’importance de déployer rapidement des correctifs complets.
Salesforce a corrigé une faille critique, nommée ForcedLeak, dans sa plateforme Agentforce, qui pourrait permettre l’exfiltration de données sensibles via une injection indirecte de prompts. Cette vulnérabilité, avec un score CVSS de 9.4, a été découverte par Noma Security. Elle impacte le CRM de Salesforce, exposant potentiellement des informations sensibles des clients, comme le rapporte The Hacker News. Cette correction est essentielle pour protéger les données des utilisateurs contre des attaques potentielles.
La vulnérabilité critique dans le logiciel Fortra GoAnywhere, avec un score CVSS de 10, a été exploitée une semaine avant sa divulgation publique. WatchTowr Labs a fourni des preuves crédibles de cette exploitation active dès le 10 septembre 2025. Cette faille n’est pas seulement une vulnérabilité CVSS 10.0, mais elle est également prisée par les groupes APT et les opérateurs de ransomware, comme le souligne The Hacker News. Cette exploitation met en évidence l’urgence de corriger rapidement les vulnérabilités critiques.
SolarWinds a publié un correctif pour une vulnérabilité critique dans Web Help Desk, permettant une exécution de code à distance sans authentification. Cette faille, identifiée comme CVE-2025-26399, est la troisième tentative de correction d’une faille plus ancienne, CVE-2024-28986. Le problème réside dans la gestion non sécurisée de la désérialisation dans le composant AjaxProxy, comme le rapporte BleepingComputer. Ce correctif est essentiel pour empêcher les attaquants non authentifiés d’exécuter des commandes sur la machine hôte.
Une faille non corrigée dans les téléphones OnePlus permet à des applications malveillantes d’accéder aux messages texte. Cette vulnérabilité, CVE-2025-10184, affecte plusieurs versions d’OxygenOS et permet l’accès aux données SMS sans permission, comme le détaille BleepingComputer. La faille découle de modifications apportées au package Telephony d’Android, exposant ainsi les messages à des applications installées sans interaction de l’utilisateur.
Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day dans Cisco IOS et IOS XE, actuellement exploitée dans des attaques. Cette faille, identifiée comme CVE-2025-20352, est due à un débordement de tampon basé sur la pile dans le sous-système SNMP. Les attaquants peuvent déclencher des conditions de déni de service ou prendre le contrôle total des systèmes, comme le rapporte BleepingComputer. La mise à jour est essentielle pour remédier à cette vulnérabilité et éviter une exposition future.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
