OpenSSH contient plusieurs nouvelles vulnérabilités de sécurité, dont l'un est le critique CVE-2023-25136. La faille est un problème de pré-authentification double gratuit qui a été introduit dans la version OpenSSH 9.1. La vulnérabilité a été corrigée dans OpenSSH 9.2. The other good news…
CVE-2021-35394 est une critique, vulnérabilité de sécurité d'exécution de code à distance qui affecte Realtek Jungle SDK. Évalué 9.8 sur l'échelle de gravité et de métrique CVSS 3.x, la vulnérabilité a été militarisée par des attaquants dans des campagnes malveillantes en cours qui ont été lancées en août…
VMware vRealize Log est vulnérable à plusieurs vulnérabilités de sécurité critiques (CVE-2022-31706, CVE-2022-31704, CVE-2022-31710, CVE-2022-31711). Les vulnérabilités ont été signalées en privé à l'entreprise. Des mises à jour et des solutions de contournement sont déjà disponibles pour résoudre les problèmes. CVE-2022-31706 CVE-2022-31706 is a directory traversal vulnerability.…
Les premiers correctifs Patch Tuesday livrés par Microsoft pour 2023 ont abordé un total de 98 failles de sécurité, dont beaucoup sont classés comme critiques, et l'un est activement exploité à l'état sauvage. Plus précisement, 11 of the vulnerabilities have…
CVE-2022-23529 est une nouvelle vulnérabilité de sécurité dans le projet open source JSONWebToken. Le problème a été découvert par Unit 42 des chercheurs, et a été noté 7.6 à l'échelle CVSS (haute sévérité). Qu'est-ce que le projet open source JSONWebToken? JSONWebToken is…
CVE-2022-39947 est une nouvelle, vulnérabilité de sécurité de gravité élevée dans le produit FortiADC – un contrôleur avancé de livraison d'applications et de bases de données de Fortinet. La vulnérabilité est un problème d'injection de commande dans l'interface Web du produit, et a été noté 8.6 de…
Les chercheurs de Cisco Talos ont récemment découvert une vulnérabilité critique dans Ghost CMS, un système populaire de gestion de contenu et d'abonnement à la newsletter open source, désigné comme CVE-2022-41654. La vulnérabilité a le potentiel de permettre aux utilisateurs externes (abonnés à la newsletter) pour créer des newsletters et ajouter…
Le botnet Zerobot fait à nouveau la une des journaux dans une nouvelle campagne exploitant une série de failles de sécurité. Le malware se propage principalement via l'Internet des objets (IdO) et les vulnérabilités des applications Web, présentant un risque sérieux pour les organisations. Zérobot: Quoi…
Une nouvelle vulnérabilité dangereuse a été découverte dans macOS. La vulnérabilité, suivi en tant que CVE-2022-42821, pourrait permettre à un acteur malveillant de prendre le contrôle total d'un système macOS. CVE-2022-42821: Ce qui est connu So Far? Microsoft a récemment découvert une faille de sécurité majeure…
Les chercheurs en sécurité ont identifié quatre vulnérabilités critiques dans Samba, un programme de partage de fichiers open source populaire. Nouvelles vulnérabilités graves dans Samba Autoriser RCE, La plus grave d'entre elles est CVE-2022-38023 Les vulnérabilités, identifié comme CVE-2022-38023, CVE-2022-37966, CVE-2022-37967, et CVE-2022-45141, pourrait permettre une…
Selon les rapports de cybersécurité, une nouvelle variante du rançongiciel Agenda récemment apparu a fait surface, écrit dans le langage de programmation Rust et spécialement conçu pour cibler les infrastructures critiques. Cette nouvelle variante d'Agenda inquiète les experts en sécurité en raison de sa…
Un autre Microsoft Patch Tuesday a été déployé, la fixation d'un total de 49 vulnérabilités. En termes de gravité et d'impact, six de ces vulnérabilités sont critiques, 40 important, et le reste – modérer. Microsoft décembre 2022 Patch Tuesday: Produits concernés,…
CVE-2022-27518 est une vulnérabilité Citrix nouvellement détectée, actuellement exploité dans des attaques. Le zero-day est situé dans Citrix ADC et Gateway, et pourrait permettre à un pirate à distance non authentifié de prendre le contrôle d'un appareil exposé. Ce que l'on sait de CVE-2022-27518? Selon…
CVE-2022-42475 est une vulnérabilité zero-day récemment signalée et très grave dans FortiOS qui pourrait déclencher l'exécution de code à distance. La vulnérabilité a été exploitée à l'état sauvage, et les organisations concernées doivent appliquer le patch immédiatement. CVE-2022-42475: Ce que l'on sait donc…
Les Etats Unis. Département de la santé et des services sociaux (HHS) a publié un avertissement concernant les attaques de rançongiciels Royal en cours qui ciblent les organisations de santé dans le pays. Ce que l'on sait des attaques Royal Ransomware? Royal ransomware est un ransomware moins connu…
CVE-2022-20968 est une nouvelle vulnérabilité de sécurité de haute gravité dans le téléphone IP Cisco 7800 et 8800 Micrologiciel de la série. CVE-2022-20968 en détail La vulnérabilité CVE-2022-20968 pourrait être exploitée par des acteurs malveillants non authentifiés dans l'exécution de code à distance et les attaques par déni de service. La faille est déclenchée…
Zombinder est un nouveau service d'obscurcissement et une plate-forme criminelle qui permet aux pirates de lier des logiciels malveillants à des applications Android légitimes. Le service est multiplateforme et cible à la fois les utilisateurs Windows et Android. The platform was discovered by ThreatFabric researchers while analyzing…
Trois nouvelles vulnérabilités de sécurité qui créent un risque important pour la chaîne d'approvisionnement ont été découvertes. les vulnérabilités, qui ont été découverts et rapportés par les chercheurs d'Eclypsium, affecter les mégatendances américaines – Contrôleur de gestion de carte mère MegaRAC (BMC) logiciel: CVE-2022-40259 – Exécution de code arbitraire via Redfish…
Google a effectivement mis à jour son navigateur vers une version plus récente, correction d'une vulnérabilité critique, appelé CVE-2022-4135. Selon des informations récentes, cette vulnérabilité concerne votre matériel et plus précisément votre GPU. Vulnérabilité CVE-2022-4135 corrigée dans la version Google Chrome 107.0.5304.121 Le plus…
Une campagne malveillante axée sur le vol de crypto-monnaies a été analysée par des chercheurs en sécurité dans plusieurs rapports conséquents depuis 2020. Voleur d'informations sur les crypto-monnaies ViperSoftX: Présentation technique Le logiciel malveillant, connu sous le nom de ViperSoftX, a été décrit initialement par Fortinet, Colin Cowie, et maintenant plus…
