Navigation
Les derniers articles
Suivez en direct

Les vulnérabilités à suivre – 29 déc 2025

DCOD vuln - Image en 3D réaliste d’un cadenas ouvert posé sur un circuit imprimé, symbolisant une faille de sécurité ou une vulnérabilité informatique dans un environnement technologique.
Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

Faits marquants de la semaine

  • Une vulnérabilité critique dans MongoDB permet à des utilisateurs non authentifiés de lire la mémoire dynamique non initialisée, en raison d’une mauvaise gestion d’incohérences de paramètres de longueur.
  • Trois failles critiques dans la plateforme Isaac Launchable de NVIDIA (avant la version 1.1) permettent une exécution de code à distance sans authentification, via identifiants codés en dur et privilèges excessifs, avec un score CVSS maximal de 9,8.
  • Une faiblesse d’authentification dans les pare-feu FortiGate exploite une différence de sensibilité à la casse des noms d’utilisateur entre FortiGate et LDAP, permettant de contourner entièrement la double authentification pour obtenir des accès administratifs ou VPN.
  • Une vulnérabilité critique dans la plateforme d’automatisation n8n ouvre la voie à l’exécution de code arbitraire, alors que le package enregistre environ 57 000 téléchargements hebdomadaires sur le gestionnaire de paquets npm.

La multiplication de vulnérabilités critiques ciblant des briques logicielles très répandues révèle une surface d’attaque en forte expansion, du stockage de données aux outils d’automatisation en passant par les plateformes d’intelligence artificielle. MongoDB est touché par une faille de lecture de mémoire non initialisée, tandis que la plateforme Isaac Launchable de NVIDIA concentre trois failles à distance au score maximal. Les équipements réseau et de sécurité ne sont pas épargnés, avec un contournement de la double authentification dans FortiGate et un enregistrement vidéo Digiever exposé à une injection de commandes. Les piles orientées intelligence artificielle, comme LangChain Core et n8n, présentent également des risques majeurs d’exfiltration de secrets, de manipulation de modèles et d’exécution de code.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

La sélection des 7 actualités à retenir cette semaine

Une nouvelle faille dans MongoDB permet à des attaquants non authentifiés de lire de la mémoire non initialisée.

Une nouvelle faille dans MongoDB permet à des attaquants non authentifiés de lire de la mémoire non initialisée.

thehackernews.com

Une faille de sécurité critique a été découverte dans MongoDB, permettant à des utilisateurs non authentifiés de lire de la mémoire du tas non initialisée. Cette vulnérabilité, référencée CVE-2025-14847 (score CVSS : 8,7), est liée à une mauvaise… Lire la suite

Des vulnérabilités critiques de NVIDIA Isaac permettent aux attaquants d'exécuter du code malveillant.

Des vulnérabilités critiques de NVIDIA Isaac permettent aux attaquants d'exécuter du code malveillant.

cyberpress.org

NVIDIA a publié des mises à jour de sécurité critiques pour sa plateforme Isaac Launchable le 23 décembre 2025, corrigeant trois vulnérabilités graves permettant à des attaquants non authentifiés d'exécuter du code arbitraire à distance. Ces trois… Lire la suite

Des pirates informatiques exploitent une faille de sécurité de FortiGate vieille de 3 ans pour contourner les protections de l'authentification à deux facteurs du pare-feu.

Des pirates informatiques exploitent une faille de sécurité de FortiGate vieille de 3 ans pour contourner les protections de l'authentification à deux facteurs du pare-feu.

cyberpress.org

Une faille de sécurité critique dans la plateforme de pare-feu FortiGate de Fortinet pourrait permettre à des acteurs malveillants de contourner l'authentification à deux facteurs (2FA) par manipulation de la sensibilité à la casse. Cette vulnérabilité, identifiée… Lire la suite

La faille critique n8n (CVSS 9.9) permet l'exécution de code arbitraire sur des milliers d'instances.

La faille critique n8n (CVSS 9.9) permet l'exécution de code arbitraire sur des milliers d'instances.

thehackernews.com

Une faille de sécurité critique a été découverte dans la plateforme d'automatisation des flux de travail n8n. Si elle était exploitée, elle pourrait permettre l'exécution de code arbitraire dans certaines circonstances. Cette vulnérabilité, référencée CVE-2025-68613, présente un… Lire la suite

La CISA signale une vulnérabilité activement exploitée dans le système NVR de Digiever, permettant l'exécution de code à distance.

La CISA signale une vulnérabilité activement exploitée dans le système NVR de Digiever, permettant l'exécution de code à distance.

thehackernews.com

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une faille de sécurité affectant les enregistreurs vidéo réseau (NVR) Digiever DS-2105 Pro à son catalogue des vulnérabilités exploitées connues (KEV), citant des preuves d'exploitation… Lire la suite

Fortinet met en garde contre l'exploitation active d'une vulnérabilité de contournement de l'authentification à deux facteurs (2FA) du VPN SSL de FortiOS

Fortinet met en garde contre l'exploitation active d'une vulnérabilité de contournement de l'authentification à deux facteurs (2FA) du VPN SSL de FortiOS

thehackernews.com

Fortinet a annoncé mercredi avoir constaté une exploitation récente d'une faille de sécurité vieille de cinq ans dans le VPN SSL de FortiOS, sous certaines configurations. La vulnérabilité en question est référencée CVE-2020-12812 (score CVSS : 5,2). Il… Lire la suite

Une vulnérabilité critique du noyau de LangChain expose des secrets via une injection de sérialisation.

Une vulnérabilité critique du noyau de LangChain expose des secrets via une injection de sérialisation.

thehackernews.com

Une faille de sécurité critique a été découverte dans LangChain Core. Un attaquant pourrait l'exploiter pour dérober des informations sensibles et même influencer les réponses de modèles de langage complexes (LLM) par injection d'invites. LangChain Core (ou… Lire la suite

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.