Ces versions datant de plus de neuf ans perdent le support des mises à jour de sécurité. Il est recommandé de migrer vers la plus haute version possible (6.8.1 actuellement) et compatible avec les thèmes et extensions installées. Cela concerne moins de 1% de l'ensemble des sites WordPress.
Une faille critique dont nous parlions dans le bulletin du 23 mai ICB-2025-5007, la CVE-2025-4322 notée CVSS 9.8 dans le thème Motors pour WordPress permet à des attaquants de réinitialiser le mot de passe de tout utilisateur, y compris des administrateurs. Le défaut réside dans une validation insuffisante des identités avant la mise à jour des mots de passe. Massivement exploité depuis le 7 juin 2025, ce bug menace plus de 22 000 sites. La faille est corrigée dans la version 5.6.68 du thème.
En mai 2025, Cloudflare a autonomement bloqué la plus grande attaque DDoS jamais enregistrée : un pic de 7,3 Tbps visant un hébergeur non identifié. En 45 secondes, l’attaque a généré 37,4 To de trafic, combinant UDP flood, amplifications NTP et RIPv1, et autres vecteurs. Plus de 122 000 adresses IP réparties sur 161 pays ont participé, notamment depuis le Brésil, le Vietnam et la Chine. Cette offensive souligne la montée des attaques volumétriques contre les infrastructures critiques. En parallèle, RapperBot poursuit ses campagnes d’extorsion via DDoS.
La CNIL publie deux FAQ pour guider les établissements scolaires et collectivités sur l’usage des systèmes d’intelligence artificielle (IA) dans le cadre éducatif. Ces documents précisent les responsabilités des acteurs, les obligations en matière de protection des données et les précautions à prendre pour garantir le respect des droits des élèves. Sont abordés : les finalités légitimes, la nécessité d’une analyse d’impact (AIPD), la transparence vis-à-vis des familles et la sécurisation des traitements. La CNIL insiste sur l’encadrement strict de ces outils pour éviter les dérives.
Wordfence vient de publier une alerte concernant les versions entre 2.8.0 et 2.8.3 inclus. La fonction can_access_mcp dans la classe Meow_MWAI_Labs_MCP permet à un utilisateur avec un compte sur le site (subscriber) d'appeler des méthodes telles que wp_update_user pour s'octroyer des privilèges admin. Cela est dû à un manquement lors de la vérification du jeton Barrer. Si celui est vide, l'extension le considère valide et laisse passer la requête. Une mise à jour est publiée : 2.8.4. Elle rajoute de nombreuses vérifications pour s'assurer de la conformité des requêtes.
Deux nouvelles vulnérabilités distinctes permettent à un attaquant avec un utilisateur sur le système d'obtenir les droits root :
allow_active).libblockdev et peut-être déclencher depuis le démon udisks. Elle permet également à l'utilisateur d'être traité comme allow_active.L'équipe de Qualys a pu démontrer l'exploitation sur Ubuntu, Debian, Fedora and openSUSE Leap 15.
Deux composants de la famille des produits Citrix NetScaler sont affectés :
L'ensemble des produits ont reçu une mise à jour :
Citrix avertit cependant que les versions 12.1 et 13.0 qui ne sont plus supportées sont également vulnérables. La seule solution est la mise à jour vers une version plus récente.
Une vulnérabilité critique (CVE-2025-4981, CVSS 10) affecte Mattermost dans plusieurs versions 9.x et 10.x. Elle permet à un utilisateur authentifié d’écrire des fichiers à des emplacements arbitraires sur le serveur en exploitant un défaut de validation des noms de fichiers lors de l’extraction d’archives. L’attaque peut conduire à une exécution de code à distance si les fichiers joints et l’indexation des contenus sont activés (valeurs activées par défaut). Un correctif est disponible depuis le 19 mai 2025.
Note du CERT illicium : Mattermost publie des avis de vulnérabilités sans détail un mois avant la divulgation des numéros CVE.
ClamAV a publié les versions 1.4.3 et 1.0.9 corrigeant des vulnérabilités critiques. CVE-2025-20260 (overflow dans l’analyseur PDF) peut provoquer un déni de service ou une exécution de code si certaines limites de taille sont configurées. CVE-2025-20234 (overflow dans l’analyseur UDF) expose à un risque de fuite d’information ou de crash. Un bug use-after-free dans la décompression Xz a également été corrigé. Ces failles concernent toutes les versions supportées. Des mises à jour sont disponibles.
Regroupant des ateliers et conférences, cet événement majeur pour l'écosystème Python sera sur le Campus René Cassin (47 rue du Sergent Michel Berthet, Lyon) à Lyon pour quatre jours. Les deux premiers jours seront consacrer à coder ensemble sur des projets Python open-source. Les deux suivants proposent ateliers et conférences. L'entrée est gratuite pour l'ensemble de l'événement.