GitLab a publié des correctifs de sécurité via les versions 18.3.2, 18.2.6 et 18.1.6 de ses éditions Community (CE) et Enterprise (EE). Ces mises à jour corrigent six vulnérabilités, dont deux classées haute, et plusieurs bugs affectant la stabilité et la conformité des instances auto-hébergées.
Le Patch Tuesday de septembre 2025 corrige 81 vulnérabilités, dont deux jour-0 rendues publiques (SDP), ciblant SMB Server (CVE-2025-55234) et la bibliothèque Newtonsoft.Json utilisée par SQL Server (CVE-2024-21907). Parmi les correctifs figurent également :
Depuis le 10 septembre 2025, Microsoft permet aux développeurs individuels de publier gratuitement leurs applications sur le Microsoft Store. Cette mesure concerne les apps Win32, UWP, PWA, MAUI ou Electron. L’inscription ne nécessite plus de compte développeur payant : un simple compte Microsoft personnel suffit, avec vérification d'identité (pièce + selfie). Microsoft offre également la signature de l’application et l’hébergement. Les développeurs d'applications non liées au jeu peuvent intégrer leur propre système de paiement et conserver 100 % des revenus. Cette initiative vise à rendre la plateforme plus accessible, notamment aux indépendants et petites structures, tout en renforçant la diversité de l’écosystème applicatif Windows.
L’éditeur de code assisté par IA Cursor présente une faille.
Un dépôt Git malveillant peut exécuter du code arbitraire automatiquement, sans aucun avertissement. La vulnérabilité réside dans le fait que Cursor est livré avec Workspace Trust désactivé par défaut.
Dans cette configuration un fichier vscode/tasks.json configuré avec l’option runOptions.runOn: "folderOpen", permet à un attaquant de déclencher silencieusement des tâches dès l’ouverture du dossier. Aucun prompt, aucune validation utilisateur : le code s’exécute directement dans le contexte local de la machine du développeur.
Les Groupements régionaux d’appui au développement de la e-santé des Pays de la Loire, Hauts-de-France et Normandie ont confirmé avoir été victimes de cyberattaques ciblant leurs services numériques de santé. Ces structures, opérateurs privilégiés des Agences Régionales de Santé, fournissent aux établissements et professionnels des outils de coordination et de prise en charge.
Palo Alto Networks a publié plusieurs bulletins de sécurité concernant des vulnérabilités affectant ses solutions.
Un total de 10 vulnérabilités ont été référencées :
Les chercheurs de Jamf ont découvert deux nouvelles menaces actives : CHILLYHELL, une porte dérobée notarisée ciblant macOS, et ZynorRAT, un cheval de Troie multiplateforme en Go affectant Windows et Linux. CHILLYHELL persiste via LaunchAgents/Daemons, modifie les shells utilisateurs et exfiltre des données. Il communique via HTTP/DNS avec un serveur C2. ZynorRAT, encore en développement, utilise Telegram pour le contrôle, réalise des captures d’écran, vole des fichiers et s’installe via systemd sur Linux. Ces malwares illustrent des capacités avancées d’évasion, de persistance et de commande à distance, compromettant gravement confidentialité, intégrité et disponibilité des systèmes.
Le projet de loi Résilience, qui transpose en droit français les directives européennes NIS2, DORA et REC, a été adopté à l’unanimité hier soir par la commission spéciale de l’Assemblée nationale. Le texte, porté par Éric Bothorel (rapporteur) et Philippe Latombe (président de la commission), inclut un amendement dans l’article 16 bis visant à sanctuariser le chiffrement de bout en bout : il interdit aux fournisseurs de services de chiffrement, y compris les prestataires qualifiés, l’obligation d’intégrer des dispositifs techniques affaiblissant la sécurité (clés maitresses, accès non consentis aux données).
Une vulnérabilité critique, surnommée SessionReaper (CVE-2025-54236), a été découverte dans Adobe Commerce et Magento Open Source. Elle résulte d’une validation insuffisante des entrées via l’API REST, pouvant être exploitée sans authentification pour prendre le contrôle des comptes clients. Adobe a publié le correctif le 9 septembre 2025, accompagné du déploiement de règles WAF pour les environnements cloud en tant que mesure temporaire. Sansec qualifie cette faille comme l’une des plus graves jamais observées dans l’histoire de Magento, aux côtés de Shoplift, Ambionics SQLi, TrojanOrder ou CosmicSting. À ce jour, aucun cas d’exploitation active n’est signalé.
Le projet Curl vient de publier deux bulletins de sécurité affectant la bibliothèque libcurl et l’outil en ligne de commande.
Référencées sous les codes :
Bien que les vulnérabilités soient toutes deux considérées comme faibles, le projet Curl recommande une montée de version en 8.16.0.
Le 10 septembre 2025, SAP a publié des correctifs critiques pour plusieurs vulnérabilités dans NetWeaver et S/4HANA. Parmi elles :
Il est recommandé d'appliquer les correctifs SAP sans délai, en particulier pour les environnements exposés à Internet, et envisager des mesures temporaires comme le filtrage de ports et le durcissement des contrôles d'accès.
Une vulnérabilité critique (CVE-2025-59042) a été identifiée dans la méthode File.download() de la bibliothèque Python internetarchive (versions ≤ 5.5.0) : une absence de validation des noms de fichiers permet une attaque de type Directory Traversal. Un attaquant peut exploiter ce défaut pour écrire des fichiers en dehors du répertoire ciblé (par exemple ../../../../windows/system32/file.txt), entraînant potentiellement un déni de service, une élévation de privilèges, voire l’exécution de code, notamment sur Windows, mais aussi sur d’autres systèmes.
Une vulnérabilité de sévérité élevée (CVE-2025-59041) affecte le package @anthropic-ai/claude-code (versions < 1.0.105) : au démarrage, Claude Code exécute une commande construite à l’aide de la configuration git config user.email. Si cette valeur user.email est mal configurée (malveillante), elle permet une exécution de code arbitraire avant que l’utilisateur n’accepte la « workspace trust dialog ».
Une vulnérabilité critique (CVE-2025-54123) a été découverte dans Hoverfly (versions ≤ 1.11.3), un simulateur de services pour tests et développement. Le point d’entrée est l’API /api/v2/hoverfly/middleware, qui permet à un utilisateur d’indiquer une commande via le paramètre binary sans contrôle, ainsi que d’exécuter un script associé.
data:Une vulnérabilité (CVE‑2025‑58754) affecte la bibliothèque Axios (versions < 1.12.0) lorsque utilisée dans des environnements Node.js. Lorsqu’une URL data: est fournie, Axios décode le contenu directement en mémoire, ignorant les limites de taille (maxContentLength, maxBodyLength). Un attaquant peut ainsi provoquer un déni de service (DoS) en surchargeant la mémoire avec une URI malformée. Aucun privilège ni interaction utilisateur n’est requis.
La 8ᵉ édition de la CloudWeek Paris se tiendra le 17 septembre 2025 à l’Hôtel de l’Industrie (Paris 6ᵉ), rassemblant décideurs publics, industriels et experts pour décrypter les grandes tendances du cloud. Organisé par EuroCloud, cet événement phare propose panels, keynotes, masterclasses et espaces de networking.
Les six thématiques au cœur de l’édition 2025 sont particulièrement stratégiques : migration vers le cloud, sécurité dès la conception, intelligence artificielle, durabilité, souveraineté numérique et attractivité du cloud français. La journée s’annonce dense, avec plus de 50 intervenants issus de 150 entreprises, dont Laure de La Raudière (ARCEP) parmi les figures de proue.
L’événement met également en lumière l’enjeu de la souveraineté numérique et le développement d’un écosystème cloud de confiance, alors que les initiatives européennes se multiplient (CSF logiciels de confiance, IA Act).
Ethiack, société portugaise, organise un nouvel événement regroupement des entreprises du monde de l'hacking éthique (bug bounty, outils) et sociétés de service au tour de l'AI. Il se déroulera à Lisbonne le 25 septembre prochain entre 9h et 20h. Il est possible d'acheter son billet directement sur le site.