Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.
Faits marquants de la semaine
- Une vulnérabilité critique dans MongoDB permet à des utilisateurs non authentifiés de lire la mémoire dynamique non initialisée, en raison d’une mauvaise gestion d’incohérences de paramètres de longueur.
- Trois failles critiques dans la plateforme Isaac Launchable de NVIDIA (avant la version 1.1) permettent une exécution de code à distance sans authentification, via identifiants codés en dur et privilèges excessifs, avec un score CVSS maximal de 9,8.
- Une faiblesse d’authentification dans les pare-feu FortiGate exploite une différence de sensibilité à la casse des noms d’utilisateur entre FortiGate et LDAP, permettant de contourner entièrement la double authentification pour obtenir des accès administratifs ou VPN.
- Une vulnérabilité critique dans la plateforme d’automatisation n8n ouvre la voie à l’exécution de code arbitraire, alors que le package enregistre environ 57 000 téléchargements hebdomadaires sur le gestionnaire de paquets npm.
La multiplication de vulnérabilités critiques ciblant des briques logicielles très répandues révèle une surface d’attaque en forte expansion, du stockage de données aux outils d’automatisation en passant par les plateformes d’intelligence artificielle. MongoDB est touché par une faille de lecture de mémoire non initialisée, tandis que la plateforme Isaac Launchable de NVIDIA concentre trois failles à distance au score maximal. Les équipements réseau et de sécurité ne sont pas épargnés, avec un contournement de la double authentification dans FortiGate et un enregistrement vidéo Digiever exposé à une injection de commandes. Les piles orientées intelligence artificielle, comme LangChain Core et n8n, présentent également des risques majeurs d’exfiltration de secrets, de manipulation de modèles et d’exécution de code.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La sélection des 7 actualités à retenir cette semaine
Une nouvelle faille dans MongoDB permet à des attaquants non authentifiés de lire de la mémoire non initialisée.
Une faille de sécurité critique a été découverte dans MongoDB, permettant à des utilisateurs non authentifiés de lire de la mémoire du tas non initialisée. Cette vulnérabilité, référencée CVE-2025-14847 (score CVSS : 8,7), est liée à une mauvaise… Lire la suite
Des vulnérabilités critiques de NVIDIA Isaac permettent aux attaquants d'exécuter du code malveillant.
NVIDIA a publié des mises à jour de sécurité critiques pour sa plateforme Isaac Launchable le 23 décembre 2025, corrigeant trois vulnérabilités graves permettant à des attaquants non authentifiés d'exécuter du code arbitraire à distance. Ces trois… Lire la suite
Des pirates informatiques exploitent une faille de sécurité de FortiGate vieille de 3 ans pour contourner les protections de l'authentification à deux facteurs du pare-feu.
Une faille de sécurité critique dans la plateforme de pare-feu FortiGate de Fortinet pourrait permettre à des acteurs malveillants de contourner l'authentification à deux facteurs (2FA) par manipulation de la sensibilité à la casse. Cette vulnérabilité, identifiée… Lire la suite
La faille critique n8n (CVSS 9.9) permet l'exécution de code arbitraire sur des milliers d'instances.
Une faille de sécurité critique a été découverte dans la plateforme d'automatisation des flux de travail n8n. Si elle était exploitée, elle pourrait permettre l'exécution de code arbitraire dans certaines circonstances. Cette vulnérabilité, référencée CVE-2025-68613, présente un… Lire la suite
La CISA signale une vulnérabilité activement exploitée dans le système NVR de Digiever, permettant l'exécution de code à distance.
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une faille de sécurité affectant les enregistreurs vidéo réseau (NVR) Digiever DS-2105 Pro à son catalogue des vulnérabilités exploitées connues (KEV), citant des preuves d'exploitation… Lire la suite
Fortinet met en garde contre l'exploitation active d'une vulnérabilité de contournement de l'authentification à deux facteurs (2FA) du VPN SSL de FortiOS
Fortinet a annoncé mercredi avoir constaté une exploitation récente d'une faille de sécurité vieille de cinq ans dans le VPN SSL de FortiOS, sous certaines configurations. La vulnérabilité en question est référencée CVE-2020-12812 (score CVSS : 5,2). Il… Lire la suite
Une vulnérabilité critique du noyau de LangChain expose des secrets via une injection de sérialisation.
Une faille de sécurité critique a été découverte dans LangChain Core. Un attaquant pourrait l'exploiter pour dérober des informations sensibles et même influencer les réponses de modèles de langage complexes (LLM) par injection d'invites. LangChain Core (ou… Lire la suite
Cette veille vous est utile ?
Offrez un café pour soutenir le serveur (et le rédacteur).
