Les vulnérabilités à suivre – 24 nov 2025

Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

La cybersécurité reste une préoccupation majeure avec des vulnérabilités critiques découvertes dans divers systèmes et applications. Cette semaine, des failles ont été identifiées dans des technologies utilisées par des millions de personnes à travers le monde, soulignant l’importance de la vigilance et de la réactivité face aux menaces. Les agences gouvernementales et les entreprises sont appelées à prendre des mesures rapides pour corriger ces vulnérabilités et protéger les données sensibles. Les chercheurs en sécurité continuent de jouer un rôle crucial en identifiant et en signalant ces failles, permettant ainsi aux organisations de renforcer leur posture de sécurité. Dans ce contexte, les initiatives pour améliorer la recherche en sécurité, comme celles entreprises par Meta, sont essentielles pour anticiper et contrer les attaques potentielles.

Des chercheurs ont pu compiler une liste de 3.5 milliards de numéros de téléphone associés à WhatsApp en exploitant une faille dans l’API de découverte de contacts. Cette vulnérabilité, détaillée par Bleeping Computer, résulte de l’absence de limitation de débit, permettant ainsi une collecte massive de données. L’ampleur de cette fuite souligne les risques liés à l’exploitation des API non sécurisées. Les informations personnelles associées à ces numéros pourraient être utilisées à des fins malveillantes, compromettant la confidentialité des utilisateurs. Cette situation met en lumière la nécessité de renforcer les mesures de sécurité autour des API pour protéger les données des utilisateurs.

La CISA a mis en garde contre une faille critique dans Oracle Identity Manager, identifiée comme CVE-2025-61757. Cette vulnérabilité est activement exploitée, ce qui pourrait indiquer qu’elle est utilisée comme un zero-day. Les agences gouvernementales américaines sont spécifiquement visées par ces attaques, soulignant l’urgence de corriger cette faille. La nature critique de cette vulnérabilité nécessite une attention immédiate pour éviter des compromissions de données sensibles. Le fait que cette faille soit exploitée activement augmente le risque pour les systèmes non corrigés, rendant la mise à jour des systèmes une priorité absolue pour les entités concernées.

Fortinet a récemment alerté sur une vulnérabilité dans FortiWeb, suivie sous le code CVE-2025-58034, avec un score CVSS de 6.7, indiquant une sévérité moyenne. Comme le rapporte The Hacker News, cette faille permet à un attaquant authentifié d’exécuter des commandes système via une injection de commande OS. La vulnérabilité est déjà exploitée, ce qui met en évidence la nécessité d’une correction rapide. La faille repose sur une neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS, ce qui pourrait compromettre la sécurité des systèmes utilisant FortiWeb. La CISA a donné aux agences gouvernementales américaines sept jours pour corriger cette nouvelle vulnérabilité dans le pare-feu d’application web FortiWeb de Fortinet.

Un défaut critique dans la bibliothèque mPDF PHP pourrait exposer environ 70 millions d’appareils à des attaques, selon GBHackers. Cette vulnérabilité découle d’une mauvaise analyse des expressions régulières, permettant des requêtes web non autorisées. Les appareils affectés sont vulnérables à l’exposition de réseaux internes et de services sensibles. L’impact potentiel de cette faille est considérable, compte tenu du nombre d’appareils concernés. La bibliothèque mPDF est largement utilisée pour générer des fichiers PDF, et cette faille souligne l’importance de la sécurité dans les composants logiciels couramment utilisés. Les développeurs et administrateurs doivent être vigilants et appliquer les correctifs nécessaires pour protéger leurs systèmes.

Des vulnérabilités critiques ont été découvertes dans Ollama, un projet open-source populaire sur GitHub avec plus de 155’000 étoiles. Ces failles, comme le rapporte GBHackers, permettent l’exécution de code arbitraire sur les systèmes vulnérables. Les versions antérieures à 0.7.0 sont particulièrement à risque, mettant en danger les développeurs et passionnés d’IA utilisant cette plateforme. Avec la possibilité pour les attaquants d’exécuter n’importe quel code, la sécurité des systèmes utilisant Ollama est gravement compromise.

SolarWinds a corrigé trois vulnérabilités critiques dans sa solution de transfert de fichiers Serv-U, chacune portant un score CVSS de 9.1. Selon Security Affairs, ces failles permettent l’exécution de code à distance, avec des problèmes de contournement de restrictions de chemin et de contrôle d’accès. Les vulnérabilités affectent la version 15.5.2.2.102 de Serv-U, et une mise à jour vers la version 15.5.3 a été publiée pour y remédier. Les failles nécessitent des privilèges administratifs pour être exploitées, mais leur impact potentiel reste élevé. La correction de ces vulnérabilités est cruciale pour prévenir les attaques potentielles sur les systèmes utilisant Serv-U.

D-Link a signalé des vulnérabilités d’exécution de commande à distance dans ses routeurs DIR-878, malgré leur fin de service. Comme l’indique Bleeping Computer, toutes les versions matérielles de ces routeurs sont affectées. Bien que ces appareils ne soient plus pris en charge, ils restent disponibles sur certains marchés, exposant les utilisateurs à des risques de sécurité. Les failles permettent à des attaquants d’exécuter des commandes à distance, compromettant potentiellement les réseaux domestiques ou d’entreprise. La présence continue de ces routeurs sur le marché souligne l’importance de la gestion des appareils obsolètes pour assurer la sécurité des réseaux.

Meta a annoncé l’introduction d’un outil appelé WhatsApp Research Proxy pour ses chercheurs en sécurité, dans le cadre d’une initiative visant à améliorer la recherche sur la sécurité de WhatsApp. Comme le rapporte The Hacker News, cet outil est destiné à faciliter l’étude des technologies spécifiques à WhatsApp, qui reste une cible lucrative pour les acteurs étatiques. En parallèle, Meta a alloué 4 millions de dollars en récompenses de bug bounty cette année, renforçant ainsi son engagement envers la sécurité. L’outil et les récompenses visent à encourager la découverte proactive de vulnérabilités, contribuant à la protection des utilisateurs de WhatsApp.