Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.
Faits marquants de la semaine
- Une vulnérabilité critique dans plusieurs versions de MongoDB, baptisée MongoBleed, est activement exploitée, avec plus de 80 000 serveurs potentiellement exposés sur Internet et un risque de fuite de secrets de base de données.
- Des failles critiques dans des écouteurs Bluetooth utilisant des puces Airoha permettent, via une chaîne d’exploits, de prendre le contrôle de smartphones connectés, affectant des dizaines de modèles de grandes marques audio grand public.
- Un ancien défaut critique dans FortiOS, permettant de contourner l’authentification à deux facteurs sur les pare-feux FortiGate, continue d’être exploité activement par des attaquants visant les équipements encore vulnérables.
- IBM alerte sur une vulnérabilité critique de contournement d’authentification dans sa plateforme d’entreprise API Connect, qui pourrait permettre à un attaquant d’accéder à distance aux applications exposées via cette solution.
La multiplication de vulnérabilités critiques touche simultanément les bases de données, les équipements réseau, les environnements d’entreprise et même les objets connectés de santé et de mobilité. Une faille MongoDB activement exploitée expose des dizaines de milliers de serveurs, tandis que des défauts dans des casques Bluetooth Airoha ouvrent un accès indirect aux smartphones. Des vulnérabilités de contournement d’authentification persistent dans FortiOS et IBM API Connect, ciblant directement des briques d’infrastructure clés. Parallèlement, des failles d’exécution de code à distance non authentifiée frappent SmarterMail et les équipements réseau XSpeeder, alors qu’une alerte de l’agence de cybersécurité américaine met en lumière le risque de prise de contrôle de fauteuils roulants connectés WHILL.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La sélection des 7 actualités à retenir cette semaine
Une faille MongoBleed exploitée expose des secrets MongoDB et 87 000 serveurs.
Une grave vulnérabilité affectant plusieurs versions de MongoDB, baptisée MongoBleed (CVE-2025-14847), est activement exploitée, avec plus de 80 000 serveurs potentiellement vulnérables exposés sur le web public. […] Lire la suite
De nouvelles failles de sécurité dans les casques Bluetooth permettent aux pirates informatiques de prendre le contrôle des smartphones connectés.
Des chercheurs en sécurité ont révélé des vulnérabilités critiques dans les casques Bluetooth Airoha, permettant à des attaquants de compromettre les smartphones connectés grâce à des exploits en chaîne. Ces trois vulnérabilités, CVE-2025-20700, CVE-2025-20701 et CVE-2025-20702, affectent… Lire la suite
Fortinet met en garde contre une faille de sécurité dans le système d'authentification à deux facteurs FortiOS, vieille de 5 ans, toujours exploitée lors d'attaques.
Fortinet a averti ses clients que des acteurs malveillants exploitent toujours activement une vulnérabilité critique de FortiOS qui leur permet de contourner l'authentification à deux facteurs (2FA) lorsqu'ils ciblent des pare-feu FortiGate vulnérables. […] Lire la suite
IBM met en garde contre une vulnérabilité critique de contournement de l'authentification API Connect
IBM a exhorté ses clients à corriger une vulnérabilité critique de contournement d'authentification dans sa plateforme d'entreprise API Connect, qui pourrait permettre à des attaquants d'accéder aux applications à distance. […] Lire la suite
La CISA met en garde contre les vulnérabilités de prise de contrôle des fauteuils roulants WHILL modèle C2
L'Agence de cybersécurité et de sécurité des infrastructures (CISA) a émis un avertissement urgent concernant une faille de sécurité critique affectant les fauteuils roulants électriques WHILL modèle C2 et modèle F. Cette faille pourrait permettre à des… Lire la suite
L'autorité de sécurité des communications de Singapour (CSA) met en garde contre une faille de sécurité RCE de très grande gravité dans SmarterMail.
L’Agence de cybersécurité de Singapour (CSA) signale une faille critique (CVE-2025-52691) dans SmarterMail, permettant l’exécution de code à distance sans authentification via le téléchargement de fichiers arbitraires. La CSA de Singapour met en garde contre une faille… Lire la suite
Une faille critique de type zero-day permettant l'exécution de code à distance dans les équipements réseau expose plus de 70 000 hôtes.
Une grave vulnérabilité d'exécution de code à distance non authentifiée a été découverte dans les équipements réseau XSpeeder, affectant potentiellement plus de 70 000 hôtes accessibles publiquement dans le monde. Référencée CVE-2025-54322, cette faille permet à un attaquant… Lire la suite
Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.
