Le 19 mai 2025, le NIST a publié un Cybersecurity White Paper (CSWP) introduisant une nouvelle approche probabiliste baptisée Likely Exploited Vulnerabilities (LEV). Ce cadre vise à mieux identifier les vulnérabilités ayant probablement fait l’objet d’une exploitation, en s’appuyant sur une modélisation statistique complémentaire aux méthodes existantes telles que EPSS (Exploit Prediction Scoring System) et les listes KEV (Known Exploited Vulnerabilities).
Contrairement à EPSS, qui estime la probabilité qu’une vulnérabilité soit exploitée dans les 30 jours suivant sa publication, LEV se concentre sur le passé : déterminer si une vulnérabilité a déjà été exploitée, même sans preuve directe. Le modèle repose sur des signaux indirects et des facteurs contextuels, avec l’objectif de prioriser les efforts de remédiation plus efficacement.
Cette distribution Linux a le droit à une nouvelle version majeure tous les trois ans. Elle fait suite aux tests réalisés sur Fedora, qui sert de laboratoire. La présentation revient sur trois grands points majeurs :
Le système permet également une première préversion pour l'architecture RISC-V et le noyau choisi est en version 6.12 (LTS).
Entre mars et mai de cette année, Microsoft a identifié plus de 394 000 ordinateurs Windows infectés par le malware. Une coordination entre Microsoft’s Digital Crimes Unit (DCU), le département de la Justice américaine (DOJ) et le centre de contrôle du cybercrime japonais (JC3) et Europol a permis la saisie plus de 2 300 domaines et l'ensemble des infrastructures utilisées en Europe et au Japon. De nombreuses entreprises privées ont également pris part et reviennent sur cette opération majeure : ESET, CleanDNS, Bitsight, Lumen, GMO Registry.
Un avis commun entre le FBI et CISA permet de lister des indices de compromissions et le fonctionnement technique : https://www.ic3.gov/CSA/2025/250521-2.pdf.
À partir du 27 mai, Meta annonce utilisé le contenu et données des usagers en Europe pour entrainer leurs intelligences artificielles. Meta se repose sur "l'intérêt légitime" pour autoriser cet usage. Cependant, l'association nyob vient d'envoyer une lettre de cessation et d'abstention et averti d'une possible action collective européenne si Meta n'annule pas. Cela est notamment dû au mode "opt-out" (acceptation par défaut) mis en place par défaut au lieu du "opti-in" (refus par défaut) requis par le RGPD.
Foxyyy a fait par à l'équipe de Wordfence de deux vulnérabilités sur le thème TheGem : CVE-2025-4339 et CVE-2025-4317. Il faut être authentifié avec un niveau minimum de subscriber (avoir un compte sur le site). Elles permettent ensuite la modification arbitraire des options du thème pour la première (via ajaxApi()) et de fichier pour la seconde (via thegem_get_logo_url()). Une mise à jour est disponible : 5.10.3.1.
La librairie PHP auth0/auth0-php contient une vulnérabilité (CVE-2025-47275) qui permet à un attaquant de créer des cookies par force brute si ces derniers utilisent le CookieStore et possèdent des informations d'authentification. Une mise à jour est disponible : v8.14.0. Cela concerne également Auth0/symfony, Auth0/laravel-auth0 et Auth0/wordpress qui reposent sur cette librairie.
Broadcom a publié un bulletin de sécurité concernant les produits ESXi, vCenter Server, Workstation Pro, Fusion, Cloud Foundation, Telco Cloud Platform, Telco Cloud Infrastructure
Référencée sous le code CVE-2025-4322 : Le thème "The Motors" de WordPress peut permettre à un attaquant une escalade de privilèges via une non-validation de l'identité de l'utilisateur lors de la mise à jour du mot de passe. Un attaquant non authentifié peut modifier le mot de passe de n'importe quel utilisateur, y compris les administrateurs, et ainsi prendre le contrôle de leur compte. Les versions affectées sont inférieures ou égales à 5.6.67.
GitHub Advisory Database a publié 8 nouveaux bulletins de sécurité concernant ce CMS. Parmi ces vulnérabilités, quelques-unes attirent l'attention.
Le 21 mai 2025, GitLab a publié les versions 18.0.1, 17.11.3 et 17.10.7 de ses éditions Community (CE) et Enterprise (EE), corrigeant plusieurs vulnérabilités de sécurité. Parmi les failles corrigées, une vulnérabilité de type déni de service (DoS) a été identifiée dans l'endpoint des blobs volumineux non protégés. D'autres vulnérabilités de sévérité moyenne incluent des problèmes dans l'intégration des webhooks Discord, la gestion des jetons Kubernetes, et des failles XSS exposant des variables masquées dans l'interface utilisateur. Ces correctifs concernent toutes les installations auto-hébergées, indépendamment du mode de déploiement. GitLab.com a déjà appliqué ces mises à jour. Les détails techniques des vulnérabilités seront rendus publics 30 jours après la publication des correctifs.
Un nouveau bulletin de sécurité concernant le plugin tarteaucitron-wp est disponible pour traiter la vulnérabilité référencée CVE-2024-11718. Les versions inférieures à la 0.3.0 permettent aux utilisateurs ayant un rôle d’auteur ou supérieur d’ajouter du code HTML dans un article ou une page. Cela pourrait permettre à des utilisateurs d’effectuer des attaques de type Cross-Site Scripting persistantes.
Grafana corrige une vulnérabilité XSS critique affectant les plugins frontend personnalisés. Un attaquant, même sans authentification si l’accès anonyme est activé, peut rediriger les utilisateurs vers une page malveillante embarquant une extension injectant du JavaScript arbitraire. Si cette extension autorise la génération d’images — fonctionnalité souvent utilisée pour les alertes — cela ouvre aussi la voie à des attaques SSRF (Server-Side Request Forgery). Toutes les versions supportées ont été corrigées avec des builds suffixées +security-01 (ex. : v12.0.0+security-01).
Les quatre branches principales prises en charge — 24.x, 23.x, 22.x et 20.x — bénéficient d'une mise à jour corrective avec les versions respectives : v24.0.2, v23.11.1, v22.15.1 et v20.19.2. Ces mises à jour adressent trois vulnérabilités, dont l'une est classée à sévérité élevée. Cette dernière peut provoquer un crash de l'application en raison d'une gestion incorrecte des erreurs dans les opérations cryptographiques, spécifiquement dans la fonction SignTraits::DeriveBits().
sanitiseMatchedBytes (CVE-2025-47947)Le 21 mai 2025, une vulnérabilité critique a été signalée dans le moteur WAF open source ModSecurity, référencée CVE-2025-47947. Elle permet à un attaquant de déclencher un déni de service (DoS) en exploitant certaines règles de filtrage mal configurées.
Le vecteur d’attaque repose sur l’envoi d’une requête HTTP avec un corps au format application/json. Si le WAF contient une règle utilisant l’action sanitiseMatchedBytes — censée masquer les données sensibles avant journalisation — cette combinaison peut entraîner une erreur interne et bloquer le processus du WAF. Le bug affecte principalement les déploiements ModSecurity dans des configurations intégrées à Apache HTTP Server.
Les développeurs de ModSecurity ont annoncé la mise à disposition du correctif via la version 2.9.9.
En collaboration avec le Cnam (Conservatoire national des arts et métiers), la CNIL réitère les journées RGPD. Cette édition se déroulera en présentiel dans les locaux du Cnam. Elle sera consacrée aux actualités sur l'intelligence artificielle, les récentes sanctions, gestion des risques cyber, certifications et nouveaux textes réglementaires. L'inscription est obligatoire.