7-Zip : une nouvelle faille de sécurité liée au traitement des archives RAR5 https://www.it-connect.fr/7-zip-cve-2025-53816-faille-archive-rar5/ #ActuCybersécurité #Cybersécurité #Vulnérabilité

"Dévouées au travail"

Julien Debonneville : Le travail des agences de recrutement est de traduire les attentes des employeur·es en termes de compétences […] avec l'idée que les femmes des campagnes sont plus "dévouées au travail".

https://www.radiofrance.fr/franceculture/podcasts/cultures-monde/philippines-la-fabrique-de-la-domestique-modele-8488204

Tiens joli, une vulnérabilité dans le noyau Linux, (présente depuis… 2005) dans le pilote HFS+, l'ancien système de fichiers de macOS encore supporté. (complexité par ...promiscuité)

Pour exploiter cette vulnérabilité, un attaquant devrait créer un système de fichiers HFS+ spécialement conçu avec des structures B-tree malformées, le monter en utilisant des permissions standard, puis déclencher la faille en définissant un attribut étendu (via setxattr)

"Linux kernel hfsplus slab-out-of-bounds Write"

https://ssd-disclosure.com/ssd-advisory-linux-kernel-hfsplus-slab-out-of-bounds-write/

impact Ubuntu

https://ubuntu.com/security/CVE-2025-0927

impact Debian

https://security-tracker.debian.org/tracker/CVE-2025-0927

vulnérabilité dans GLPI : SQL injection → RCE

Si tu utilises GLPI pour gérer ton parc informatique, attention. Une nouvelle faille (CVE-2025-24799 / CVE-2025-24801) permet à un attaquant non authentifié de prendre le contrôle d'un compte via une injection SQL, et d'exécuter du code à distance sur le serveur.

Le problème vient d’une fonctionnalité d’inventaire (pas activée par défaut, mais présente sur beaucoup d’installations). Avec la faille, un attaquant peut récupérer un token d'authentification stocké en clair dans la base de données, s’ouvrir une session et exploiter une faille d'inclusion de fichiers via l'export PDF pour exécuter du code malveillant. Bref, accès total au serveur.

GLPI est très utilisé dans les régions francophones, notamment par des PME, des associations et des établissements éducatifs.

Pas mal d’instances sont exposées directement sur Internet. Ce n’est pas la première fois que ce genre de faille cause des dégâts…

Selon le moteur de scan de surface d'attaque Onyphe il y aurait plusieurs centaines d'instances vulnérables exposée sur Internet (!)

Si tu as une instance GLPI, vérifie vite ta version et applique les correctifs dès que possible.

Détails techniques (PoC)

https://blog.lexfo.fr/glpi-sql-to-rce.html

Advisory

https://github.com/glpi-project/glpi/security/advisories/GHSA-p626-hph9-p6fj

Patch é en version 10.0.18

https://github.com/glpi-project/glpi/releases/tag/10.0.18

Deux vulnérabilités (CVE-2025-25291, CVE-2025-25292) permettent de contourner l’authentification SAML (SSO) sur GitHub et GitLab via une attaque par « signature wrapping ».
Un attaquant disposant d'une signature valide pourrait ainsi se connecter sous l’identité d’un autre utilisateur. La prudence est de mise, surtout qu’un gang spécialisé dans les ransomwares a récemment ciblé ces plateformes. L’exploitation active est à ce jour inconnue.

GitLab recommande fortement la mise à jour vers 17.9.2 :

https://about.gitlab.com/releases/2025/03/12/patch-release-gitlab-17-9-2-released/

GitHub – Sign in as anyone (détails techniques) :

https://github.blog/security/sign-in-as-anyone-bypassing-saml-sso-authentication-with-parser-differentials/

#Cyberveille
#vulnerabilite
#GitHub
#GitLab
#SAML
#CVE_2025_25291
#CVE_2025_25292

Une vulnérabilité (CVE-2025-27363, CVSS 8.1) touche FreeType ≤2.13.0, une bibliothèque logicielle largement utilisée pour le rendu des polices (texte) sur Linux, Android et divers systèmes embarqués ou mobiles (& navigateurs web) . Cette faille pourrait mener à l’exécution de code arbitraire.

Selon Facebook, elle pourrait déjà être exploitée activement.

Il est recommandé de mettre à jour FreeType vers la version 2.13.3 pour assurer la sécurité de vos systèmes.

"CVE-2025-27363: out of bounds write in FreeType <= 2.13.0"

https://www.openwall.com/lists/oss-security/2025/03/13/1

Impact #RedHat

https://access.redhat.com/security/cve/cve-2025-27363

Impact #Debian

https://security-tracker.debian.org/tracker/CVE-2025-27363

Impact #Suse

https://www.suse.com/security/cve/CVE-2025-27363.html

Notification de mise à jour importante pour rsync

Vulnérabilités découvertes dans #rsync (versions ≤ 3.3.0)

Des chercheurs en sécurité (Google Cloud Vulnerability Research) ont identifié plusieurs vulnérabilités critiques dans Rsync, un outil largement utilisé pour la synchronisation de fichiers. Ces vulnérabilités incluent des failles pouvant permettre l'exécution de code arbitraire, la fuite d'informations sensibles et la modification non autorisée de fichiers.

Impact potentiel :

• Exécution de code arbitraire sur des serveurs Rsync vulnérables.
• Accès non autorisé à des fichiers sensibles sur les clients connectés.
• Contournement des restrictions de sécurité.Score de criticité : Élevé

"Rsync contains six vulnerabilities"

https://kb.cert.org/vuls/id/952657

Une #vulnerabilite critique, identifiée comme CVE-2024-50379, a été découverte dans Apache Tomcat. Cette faille est due à une condition de concurrence (race condition) lors de la compilation des JSP (JavaServer Pages) sur des systèmes de fichiers insensibles à la casse, tels que Windows.

Pour qu'un attaquant puisse exploiter cette vulnérabilité et exécuter du code à distance, deux conditions doivent être réunies :

• Le servlet par défaut de Tomcat doit être configuré pour autoriser l'écriture, ce qui n'est pas la configuration par défaut

• Le système doit utiliser un système de fichiers insensible à la casse, permettant à des fichiers comme "test.jsp" et "TEST.JSP" d'être traités de manière identique.

Il est recommandé de mettre à jour Apache Tomcat vers les versions corrigées (9.0.98, 10.1.34, 11.0.2) et de vérifier que le servlet par défaut n'autorise pas l'écriture, sauf si cela est absolument nécessaire.

[Advisory]

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

[PoC]

https://github.com/iSee857/CVE-2024-50379-PoC/tree/main

https://github.com/yiliufeng168/CVE-2024-50379-POC

Vulnérabilité dans 7-Zip : mise à jour nécessaire

Une faille permet aux attaquants d’injecter du code malveillant via des archives manipulées (CVE-2024-11477, risque élevé). Téléchargez et installez la version 24.08 sur le site officiel pour vous protéger.

https://www.7-zip.org/

Pas de mise à jour automatique : action manuelle requise

"7-Zip flaw enables code smuggling with manipulated archives
Attackers can use manipulated archives to try to inject malicious code into 7-Zip users. An update is available."

https://www.heise.de/en/news/7-Zip-flaw-enables-code-smuggling-with-manipulated-archives-10083922.html

Si vous utilisez un Synology comme solution cloud pour vos photos, c'est le bon moment pour effectuer les mises à jours de sécurité, notamment pour l'application Photos.

Une vulnérabilité permet à des attaquants distants d'exécuter du code arbitraire.

Synology-SA-24:19 Synology Photos (PWN2OWN 2024)

https://www.synology.com/en-global/security/advisory/Synology_SA_24_19

Vuln démontrée lors du dernier Pwn2Own Ireland 2024

"SUCCESS - PHP Hooligans / Midnight Blue (@midnightbluelab) used a command injection bug to get code execution on the Synology BeeStation BST150-4T. They earn $40,000 and four Master of Pwn points."

https://www.zerodayinitiative.com/blog/2024/10/23/pwn2own-ireland-2024-day-two-results?rq=midnightbluelab

"Zero-Click Flaw Exposes Potentially Millions of Popular Storage Devices to Attack"

https://www.wired.com/story/synology-zero-click-vulnerability/

Backdoor critique dans les NAS D-Link – 92 000 appareils vulnérables qui ne seront pas patchés https://korben.info/faille-critique-nas-d-link-92000-appareils-vulnerables-backdoor.html #appareilsexposés #failledesécurité #vulnérabilité #nasd-link #backdoor #sécurité