Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.
Faits marquants de la semaine
- Les caméras des toilettes Kohler ne sont pas réellement chiffrées de bout en bout, exposant ainsi des problèmes de confidentialité.
- Des hackers chinois exploitent rapidement la vulnérabilité critique React2Shell, ciblant des déploiements sur Internet.
- Une vulnérabilité critique dans Apache Tika permet des attaques XXE, avec un score CVSS de 10.0.
- Google a corrigé 107 failles de sécurité Android, dont deux exploitées activement.
Cette semaine, des chercheurs ont découvert que les caméras des toilettes Kohler ne bénéficient pas du chiffrement de bout en bout promis, exposant ainsi des données sensibles. Parallèlement, des hackers chinois ont rapidement exploité une faille critique dans React et Next.js, mettant en danger de nombreux systèmes. Une vulnérabilité maximale dans Apache Tika a également été identifiée, permettant des attaques XXE. Enfin, Google a publié des correctifs pour 107 failles de sécurité Android, soulignant l’importance de maintenir les systèmes à jour pour se protéger contre les menaces émergentes.
Selon Wired, Kohler a commercialisé un dispositif intelligent pour toilettes, le Dekota, qui prétendait utiliser un chiffrement de bout en bout. Cependant, une enquête a révélé que ce n’était pas le cas. Le chiffrement ne s’appliquait qu’entre le dispositif et le serveur, laissant les données vulnérables une fois sur le serveur de Kohler. Cette faille a conduit Kohler à retirer toutes les mentions de chiffrement de bout en bout de ses descriptions.
D’après CyberInsider, des groupes de hackers liés à la Chine ont commencé à exploiter la faille React2Shell peu après sa divulgation publique. Cette vulnérabilité critique, identifiée par le code CVE-2025-55182, permet une exécution de code à distance non authentifiée. AWS a confirmé que des groupes comme Earth Lamia et Jackpot Panda ciblent les déploiements exposés sur Internet. La rapidité de l’exploitation de cette faille met en lumière la nécessité d’une réaction rapide pour les développeurs utilisant React et Next.js. Cette faille, signalée à Meta le 29 novembre et corrigée le 3 décembre, affecte de nombreux systèmes utilisant React, une bibliothèque JavaScript populaire.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Comme le rapporte Le Monde Informatique, une importante faille de sécurité vient d’être corrigée dans React et Next.js, deux outils très utilisés pour créer des sites web. Les équipes de Wiz expliquent que plusieurs versions récentes sont touchées et doivent être mises à jour rapidement. La faille fonctionne un peu comme celle de Log4j : elle permet d’envoyer des données spécialement conçues pour tromper l’application et exécuter du contenu non prévu. Les tests montrent que même des sites construits sans réglages particuliers peuvent être vulnérables.
D’après SecurityAffairs, une vulnérabilité XXE de gravité maximale a été découverte dans Apache Tika, avec un score CVSS de 10.0. Cette faille permet des attaques par injection d’entités XML externes, affectant les modules core, PDF et parser de Tika. Les versions concernées vont de 1.13 à 3.2.1 pour tika-core et de 2.0.0 à 3.2.1 pour le module PDF. Cette vulnérabilité élargit le champ des paquets affectés par rapport à une faille antérieure.
Comme le détaille The Hacker News, Google a publié des correctifs pour 107 failles de sécurité dans Android, dont deux exploitées activement. Ces vulnérabilités touchent divers composants, notamment le Framework, le Système, et des technologies de partenaires comme Qualcomm.
Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.
