Menu

Aucun menu défini dans le customizer.

Catégorie : cve

Ajout automatique par WPeMatico

accès root, Actus Automatisées, Actus Tech, cve, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, faille critique, Sciences

Telnetd – Une faille vieille de 11 ans est un accès root

Telnet, ça vous dit quelque chose ?

C’est ce vieux protocole réseau non chiffré que nos arrières-arrières-arrières-grands-parents utilisaient pour se connecter à des serveurs distants. C’est un truc que vous pensiez peut-être enterré depuis belle lurette… Hé bien figurez-vous qu’une faille critique vieille de 11 ANS vient d’être découverte dans le serveur telnetd de GNU InetUtils. Et le pire c’est que des hackers l’exploitent déjà activement.

ARGH !

La vulnérabilité en question, baptisée
CVE-2026-24061
, permet de contourner complètement l’authentification et d’obtenir un accès root. Sans putain de mot de passe (!!!!).

Actus Automatisées, Actus Tech, cve, faille zero-day, Git, Gitea, Sciences, securite-vie-privee/cybersecurite

Si vous utilisez Gogs, vous avez un gros problème

En 2016, je vous parlais de
Gogs
, ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.

Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.

Actus Automatisées, Actus Tech, Android, cve, Google, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

Android – Deux failles 0-day exploitées, mettez à jour maintenant !

Google vient de publier son
bulletin de sécurité de décembre 2025
et c’est pas joli joli. Au programme, 107 vulnérabilités corrigées dont deux 0-day activement exploités dans des attaques ciblées. Donc si vous avez un smartphone Android, allez vérifier vos mises à jour immédiatement !

Les deux failles qui posent problème s’appellent CVE-2025-48633 et CVE-2025-48572. La première permet de voler des informations sur votre appareil et la seconde offre une escalade de privilèges… autrement dit, un attaquant peut prendre le contrôle de votre téléphone. Et ces deux vulnérabilités touchent le Framework Android, c’est à dire le cœur du système et elles affectent les versions 13, 14, 15 et 16. Donc en gros, à peu près tout le monde.

2FA, Actus Automatisées, Actus Tech, Android, cve, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

Une faille que personne ne veut réparer permet de voler vos codes 2FA

Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.

Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!

Et devinez quoi ?

Y’a toujours pas de patch !

L’histoire commence donc en septembre 2023.
Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip
, une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !

Actus Automatisées, Actus Tech, cve, OnePlus, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

OnePlus – La faille qui laisse fuiter vos SMS

Si vous avez un joli smartphone OnePlus, vous allez être content d’apprendre qu’il s’y cache une faille critique découverte par
Rapid7
! Et quand je dis critique c’est pas pour rigoler puisque depuis 4 ans, n’importe quelle app sur votre OnePlus peut aspirer tous vos SMS sans que vous ne soyez au courant.

Estampillée CVE-2025-10184, cette faille touche tous les OnePlus équipés de OxygenOS 12 à 15. En 2021, OnePlus a en effet bidouillé le package Telephony d’Android en y ajoutant trois petits passagers clandestins : PushMessageProvider, PushShopProvider et ServiceNumberProvider. Ces trucs n’existaient pas dans Android stock et ont été inventés par les équipes OnePlus / Oppo pour on ne sait quelle raison obscure.

Actus Automatisées, Actus Tech, atp27, cve, exploit, Microsoft, Sciences, securite-vie-privee

L’histoire épique de la CVE-2025-53770 ou comment SharePoint s’est fait défoncer mondialement

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Allez, même si tous les médias vous gavent avec ça ces derniers jours, je vais quand même vous raconter l’histoire de la CVE-2025-53770, une faille SharePoint qui fait actuellement trembler Internet.

On est le 18 juillet dernier, c’est vendredi matin. Je suis tranquille posé en Bretagne, devant mon petit café, en train de scroller mes flux RSS comme d’hab. Et là, BAM ! Je vois un tweet d’un chercheur néerlandais qui me fait recracher mon café : “Quelque chose de très mauvais se passe avec SharePoint. Vérifiez vos logs. MAINTENANT.