Les vulnérabilités à suivre – 1 déc 2025

Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

Cette semaine, aux États-Unis, une faille dans les systèmes de jury a exposé des données sensibles, tandis que le réseau Tor a annoncé une mise à jour majeure de son cryptage pour protéger ses utilisateurs. Une vulnérabilité dans Next.js a été découverte, permettant à des attaquants de causer des interruptions de service. En parallèle, des domaines iCal abandonnés posent un risque pour des millions d’appareils, soulignant l’importance de la vigilance dans la gestion des technologies numériques.

Selon TechCrunch, une vulnérabilité dans un système de gestion de jurés, développé par Tyler Technologies, a exposé des données personnelles de jurés dans plusieurs États américains et au Canada. Cette faille permettait d’accéder facilement à des informations telles que les noms, adresses, et numéros de téléphone des jurés. Au moins une douzaine de sites web de gestion de jurés, utilisant la même plateforme, étaient vulnérables. La faille exploitait un identifiant numérique séquentiel, facilement devinable, et l’absence de mécanisme de limitation de tentatives de connexion. Les données exposées incluaient également des informations sensibles issues de questionnaires remplis par les jurés, telles que le statut marital et les raisons de santé pour lesquelles un juré pourrait demander une exemption.

Le réseau Tor a annoncé une mise à jour significative de son algorithme de cryptage, passant à Counter Galois Onion (CGO) pour renforcer la sécurité des utilisateurs contre les attaques sophistiquées. L’ancien algorithme, basé sur AES-128-CTR et un digest SHA-1 de 4 octets, présentait des faiblesses critiques permettant aux attaquants de tracer le trafic et potentiellement de dé-anonymiser les utilisateurs. CGO introduit un nouvel algorithme qui améliore également l’authentification et assure un secret de transmission immédiat, transformant les clés de cryptage après chaque cellule traitée.

Une vulnérabilité critique de déni de service a été découverte dans Next.js, permettant à des attaquants non authentifiés de faire planter des serveurs auto-hébergés avec une simple requête HTTP, comme le rapporte Cyberpress. Cette faille, présente dans les versions jusqu’à 15.5.4, exploite la manière dont Next.js gère les données entrantes, saturant la mémoire du serveur. Environ 55% des applications Next.js sont auto-hébergées, mettant potentiellement en péril des millions de sites web.

D’après GBHackers, plus de 390 domaines iCal abandonnés reçoivent encore des requêtes de synchronisation de près de 4 millions d’appareils, principalement iOS et macOS. Ces domaines, lorsqu’expirés ou détournés, peuvent être utilisés pour injecter des événements malveillants dans les calendriers des utilisateurs, transformant un outil de confiance en vecteur d’attaque pour le phishing et les logiciels malveillants. L’étude de Bitsight TRACE a révélé que ces domaines, liés à des événements tels que des fêtes religieuses ou des événements sportifs, constituent une surface d’attaque négligée mais potentiellement exploitable à grande échelle.

Une vulnérabilité dans Apache SkyWalking, identifiée comme CVE-2025-54057, permet des attaques XSS selon GBHackers. Cette faille permet à des attaquants d’injecter des scripts malveillants pouvant voler des informations sensibles. La vulnérabilité est due à une mauvaise neutralisation des balises HTML dans les pages web. Un correctif a été publié.

ASUS a publié un nouveau firmware pour corriger neuf vulnérabilités, dont une faille critique de contournement d’authentification dans les routeurs AiCloud, comme le détaille BleepingComputer. La vulnérabilité CVE-2025-59366, liée à une fonctionnalité Samba, permet à des attaquants d’exécuter des fonctions sans autorisation appropriée. Les attaques peuvent être menées à distance sans interaction de l’utilisateur. ASUS recommande de mettre à jour immédiatement le firmware pour se protéger.

Selon The Hacker News, une faille dans Microsoft WSUS, identifiée comme CVE-2025-59287, a été exploitée pour distribuer le malware ShadowPad. Les attaquants ont ciblé des serveurs Windows avec WSUS activé, utilisant PowerCat pour obtenir un shell système. ShadowPad, utilisé par des groupes de hackers parrainés par l’État chinois, est un backdoor modulaire permettant un accès complet au système. Cette vulnérabilité récemment corrigée souligne l’importance de maintenir les systèmes à jour pour prévenir de telles exploitations.