L'équipe FEARS OFF vient de publier un article de recherche sur la récente vulnérabilité de Roundcube (CVE-2025-49113). Elle permet, pour rappel, l'exécution de code arbitraire une fois l'utilisateur connecté via l'exploitation du paramètre _from dans l'URL (non-validation dans le fichier program/actions/settings/upload.php). Cette publication faite suite à la mise en vente d'outils pour l'exploitation automatique sur des forums. Des mises à jour sont bien disponibles : 1.6.11 et 1.5.10 (LTS).
Bientôt rejoint par Mandiant (Google) et Unit 42 (Palo Alto Networks), Microsoft vient de publier un guide de références avec CrowdStrike. Il permet d'associer un terme (basé sur les phénomènes météorologiques) avec un pays ou la motivation derrière le groupe. Le détail est disponible sur une page dédiée. Cela devrait permettre une meilleure lisibilité entre les différentes publications.
Le groupe ransomware Qilin (alias Phantom Mantis) exploite activement deux vulnérabilités critiques Fortinet (CVE-2024-21762 et CVE-2024-55591) pour contourner l’authentification et exécuter du code à distance sur des appliances FortiGate. Ces failles ont été utilisées dans des attaques contre plus de 310 victimes, dont des institutions médicales londoniennes. PRODAFT révèle une campagne coordonnée en mai-juin 2025, visant prioritairement des pays hispanophones. Ces vulnérabilités étaient déjà exploitées en zero-day par d'autres groupes comme Mora_001 ou Volt Typhoon. Fortinet a publié des correctifs, mais près de 150 000 systèmes restent vulnérables.
Les cookies __session créés par auth0.middleware peuvent être mis en cache par les CDN dû à l'absence de l'en-tête HTTP Cache-Control. Cela peut conduire à une utilisation malveillante ou des réponses de la part des CDN contenant les cookies d'un autre utilisateur. La version 4.6.1 corrige le souci en forçant les valeurs private, no-cache, no-store, must-revalidate, max-age=0.
WP User Frontend Pro est une extension permettant la gestion des articles et abonnements des utilisateurs sur le CMS WordPress. Les versions inférieures ou égales à 4.1.3 sont vulnérables à l'envoi et suppression de fichier. Il faut avoir un compte sur le site cependant (sans permissions particulières). L'envoi arbitraire réside dans la fonction message_send() de la classe WPUF_Private_Message_Ajax, et la suppression dans la fonction update_user_meta() de la classe Profile_Form.
Le SDK en version PHP (inclus donc Auth0/symfony, Auth0/laravel-auth0, Auth0/wordpress) du fournisseur d'identité Auth0 est vulnérable : CVE-2025-48951. Une mauvaise désérialisation des données dans les cookies permet à un acteur malveillant d'y inclure des données malicieuses. Il est important de noter que les cookies sont traités avant toute authentification. La version 8.3.1 a été publiée pour corriger la faille.
La vulnérabilité (CVE-2025-20286) permet à un attaquant non authentifié d'accéder à des données sensibles, modifié la configuration système et exécuter des commandes limitées avec des privilèges administrateur. Cela peut conduire à une interruption de services. Cela est dû à la mauvaise génération des identifiants lors du déploiement de Cisco Identity Services Engine (ISE) sur la plate-forme cloud. Les identifiants sont identiques pour une version et un fournisseur donné. Des mises à jour sont planifiées : 3.3P8 (novembre 2025), 3.4P3 (octobre 2025) et 3.5 (aout 2025). Des hot fixes sont disponibles en attendant (téléchargeable après connexion sur le portail Cisco).
Deux vulnérabilités majeures signalées affectant la sécurité des accès aux données et aux dashboards, y compris pour les utilisateurs authentifiés.
Cette faille permet à un utilisateur disposant d'un jeton API ou d’un compte disposant d’autorisations de visualisation sur un dashboard contenant une datasource Prometheus de contourner les permissions RBAC. Cela permet un accès à d'autres datasources Prometheus via l'API /api/ds/query, même sans droit explicite. Versions affectées : Grafana 10.0.0 à 10.4.3. Correctif : Grafana 10.4.4 et 11.0.0
Cette vulnérabilité permet à tout utilisateur authentifié d’accéder à des dashboards restreints via l’endpoint /apis, sans vérification des autorisations. Versions affectées : Grafana 10.0.0 à 10.4.3. Correctif : Grafana 10.4.4 et 11.0.0
Note du CERT illicium : Vérifier les politiques RBAC et d’auditer les accès aux dashboards exposés.
Le 27 mai 2025, Hitachi Energy a publié plusieurs avis de sécurité concernant des vulnérabilités affectant ses produits industriels critiques. Ces failles touchent notamment les séries Relion® 670/650, SAM600-IO, Asset Suite et RTU500.
La CNIL publie un guide pour distinguer le rôle de responsable de traitement (qui décide des finalités et moyens) de celui de sous-traitant (qui agit pour le compte du premier). Cette distinction, cruciale pour la conformité au RGPD, détermine les obligations juridiques de chaque partie. Des exemples concrets illustrent les situations courantes. La CNIL insiste sur l’importance d’anticiper cette analyse contractuellement pour éviter toute confusion, source potentielle de sanctions. Une lecture essentielle pour les DSI, RSSI et responsables juridiques.
L’ANSSI publie une série de fichiers "Actionnables" visant à faciliter l’application concrète de son guide « Sécuriser la journalisation dans un environnement Microsoft Active Directory ». Ces ressources pratiques sont conçues pour aider les administrateurs à configurer efficacement les logs sur des environnements Windows et Active Directory, en cohérence avec les recommandations du guide officiel.
Disponibles sur GitHub, ces fichiers couvrent les catégories d’événements critiques à journaliser, les paramètres de stratégie de groupe associés, ainsi que les scripts de configuration. Une initiative bienvenue pour accélérer la mise en conformité et renforcer la détection des incidents.
Rennes, 18–19 juin 2025 – CentraleSupélec / Inria La conférence EICC 2025 s’annonce comme un rendez-vous de premier plan pour la communauté cybersécurité. Une session spéciale baptisée CyFRP 2025 (Cyber Funded Research Projects) mettra à l'honneur les synergies entre projets de recherche financés à l’échelle nationale ou européenne.
Cette session vise à favoriser les échanges de connaissances et les transferts technologiques entre initiatives, à partager résultats et besoins, et à initier des collaborations durables. Les participants auront l’occasion de présenter des résultats récents, de rechercher des jeux de données ou des outils, et d’identifier des opportunités de cofinancement via Horizon Europe ou le Conseil européen de la recherche (ERC).
Parmi les intervenants : des experts issus de 15 pays européens, représentants de grandes universités et centres de recherche (Inria, King's College London, CNR, Athena RC...).