L'équipe de Wiz Research a dévoilé une vulnérabilité affectant Base44.
La faille permettait de contourner l’authentification pour accéder à des applications censées être privées, en utilisant uniquement un identifiant d’application app_id.
Deux endpoints API exposés /auth/register et /auth/verify-otp, permettaient à un attaquant de s’enregistrer sur une application privée en fournissant seulement l’app_id visible dans l’URL et le manifest de l’app, de vérifier son adresse e-mail via un OTP, de se connecter ensuite normalement, même si l’accès était restreint par SSO.
Cette vulnérabilité, ouvrait un accès complet à des données internes sensibles
Les chercheurs de Sucuri ont découvert une compromission sophistiquée visant un site WordPress via un faux plugin intitulé "WP Compatibility Patch". Derrière cette extension en apparence légitime se cache une porte dérobée permettant à un attaquant de créer un compte administrateur persistant et invisible nommé adminbackup.
L’événement AIR2025, organisé par la CNIL, portera cette année sur un sujet aussi sensible qu’actuel : le devenir des données numériques après la mort.
À travers deux tables rondes, cette initiative a pour objectif de croiser les regards scientifiques, juridiques et sociétaux sur les données post mortem, leur usage, leur valeur, et les enjeux qu’elles soulèvent.
Orange a détecté une cyberattaque ciblant un de ses systèmes d’information. L’intervention rapide de Orange Cyberdefense a permis d’isoler les services potentiellement touchés et d’en limiter les impacts.
Les opérations d’isolement ont entraîné des interruptions temporaires sur certaines plateformes destinées aux clients Entreprises et quelques services grand public.
Des équipes dédiées ont été mobilisées pour informer et accompagner les clients concernés.
Scattered Spider, groupe cybercriminel notoire, s’attaque aux hyperviseurs VMware ESXi dans les secteurs du commerce de détail, du transport aérien et du transport aux États-Unis, dans le but de déployer des ransomwares sur des infrastructures critiques.
La CNIL s’est réunie en séance plénière pour examiner une série de projets de délibérations portant sur des traitements de données personnelles dans des secteurs stratégiques comme la défense, la santé, ou encore la navigation de plaisance.
Wordfence a publié un bulletin de sécurité à la suite d’un rapport du chercheur ISMAILSHADOW concernant une vulnérabilité dans le plugin AI Engine.
Référencée sous le code CVE-2025-7847 : cette vulnérabilité permet à un utilisateur authentifié ayant le niveau abonné ou supérieur, de transférer des fichiers arbitraires sur le serveur, en raison de l’absence de validation adéquate dans la fonction rest_simpleFileUpload(). Cette action n’est exploitable que si l’option API REST publique est activée dans les paramètres, ce qui peut aboutir à l’exécution de code à distance.
Apple a publié une mise à jour de sécurité pour iOS et iPadOS , corrigeant un totale de 29 vulnérabilités, principalement au sein de WebKit, le moteur de rendu utilisé par Safari et d'autres applications.
Référencées sous les codes :
Wordfence a publié un bulletin de sécurité à la suite d’un rapport du chercheur Thái An concernant une faille critique dans le thème Alone – Charity Multipurpose Non-profit.
Référencée sous le code CVE-2025-5394 : un attaquant non authentifié peut installer un plugin malveillant à distance et obtenir une exécution de code sur le serveur pouvant permettre la prise de contrôle du site. La vulnérabilité réside dans la fonction alone_import_pack_install_plugin() : celle-ci est accessible via une action AJAX ouverte et ne procède à aucune vérification de droit ni de jeton, permettant l’installation de fichiers ZIP distants contenant des webshells déguisés en plugins.
Les chercheurs de Bitdefender ont identifié deux vulnérabilités critiques affectant les caméras de surveillance Dahua, référencées sous les codes :
Bien que similaires dans leur nature, ces failles concernent deux composants distincts du firmware. Ces vulnérabilités permettent à un attaquant distant, non authentifié, d’envoyer des paquets spécialement conçus, pouvant entraîner une interruption de service ou une exécution de code arbitraire à distance.
Proton lance Proton Authenticator, une application gratuite d’authentification à deux facteurs (2FA), disponible sur Windows, macOS, Linux, Android et iOS. Elle permet de générer des codes 2FA chiffrés de bout en bout, d'y accéder même hors ligne, de synchroniser ses jetons 2FA, d’effectuer des sauvegardes, et d’importer/exporter ses jetons.
Contrairement aux solutions concurrentes souvent propriétaires, dépendantes de la publicité et sans fonction d’exportation, Proton Authenticator se veut open source, sans traqueurs, ni verrouillage éditeur.