Newsletter RadioCSIRT N°16
🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT
Bonjour à toutes et à tous
Cette semaine, je vous propose une synthèse complète de l’activité de veille et de publication autour de la cybersécurité : articles LinkedIn, épisodes quotidiens du podcast RadioCSIRT, et analyses techniques diffusées tout au long de la semaine.
Au programme :
Des vulnérabilités critiques activement exploitées (WordPress, Microsoft, Chrome, Ivanti, Roundcube, Netgear, Apache).
Des campagnes menées par des groupes APT ou cybercriminels identifiés (DarkGaboon, PurpleHaze, FIN6, botnet Mirai).
Des actions de régulation et d’enquête menées par les autorités (CISA, Europol, FAA, NIST, INTERPOL).
Et plusieurs réflexions stratégiques sur la gouvernance open source, la privatisation du renseignement ou les risques liés aux comptes dormants.
Tous les liens sont inclus pour vous permettre d’approfondir ou relayer les contenus dans vos activités de veille, d’analyse ou de sensibilisation.
Enfin, le site web de RadioCSIRT s’enrichit cette semaine d’une fonction de recherche intégrée, vous permettant de retrouver rapidement un épisode, un sujet traité, ou une source mentionnée dans nos publications.
L’accès reste libre, sans publicité ni inscription.
🔎 À lire cette semaine sur LinkedIn
Je vous propose une nouvelle sélection de mes derniers articles publiés sur LinkedIn.
🔹 Vague de vulnérabilités critiques sur WordPress : 13 failles à corriger d'urgence
Analyse détaillée d’une série de failles critiques dans l’écosystème WordPress. Un article pour les équipes en charge du patch management et de la gestion des risques CMS.
👉 Lire : https://www.linkedin.com/pulse/vague-de-vuln%25C3%25A9rabilit%25C3%25A9s-critiques-sur-wordpress-13-failles-gomez-uobte/?trackingId=%2FsaOn3B6RS%2BpWBRO%2Bq%2BH4g%3D%3D
🔹 Alerte CISA AA25-163A : une cyberattaque orchestrée via Ivanti
Décryptage de l’alerte de la CISA sur une exploitation active impliquant Ivanti Connect Secure. Détails techniques, recommandations, et implications pour les CERT.
👉 Lire : https://www.linkedin.com/pulse/alerte-cisa-aa25-163a-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-20l5e/?trackingId=pnTau6WjQlKO3yfPaUXxdQ%3D%3D
🔹 Privatisation du renseignement : une menace pour les démocraties ?
Réflexion critique sur l’essor des sociétés privées de renseignement offensif. Un enjeu éthique, stratégique et sécuritaire à considérer sérieusement.
👉 Lire : https://www.linkedin.com/pulse/privatisation-du-renseignements-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-ioj5e/?trackingId=pnTau6WjQlKO3yfPaUXxdQ%3D%3D
🔹 Patch Tuesday Juin 2025 : les failles critiques à ne pas ignorer
Retour technique sur les vulnérabilités corrigées par Microsoft en juin, avec un focus sur les CVE exploitables. À lire pour anticiper vos priorisations.
👉 Lire : https://www.linkedin.com/pulse/patch-tuesday-juin-2025-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-xupje/?trackingId=pnTau6WjQlKO3yfPaUXxdQ%3D%3D
🎙 Récapitulatif des épisodes du podcast de la semaine
Du samedi 1er Juin au vendredi 6 Juin 2025
📅 Podcast RadioCSIRT du Samedi 7 Juin 2025 (Ep.314)
📌 Au programme aujourd’hui :
🏛️ Bruce Schneier critique l’usage de l’IA dans les politiques gouvernementales
Devant la Chambre des représentants, Bruce Schneier alerte sur les risques de sécurité liés à l’initiative DOGE (Department of Government Efficiency), qui vise à intégrer l’intelligence artificielle dans la gestion des données de l’État. Il dénonce un enthousiasme démesuré pour l’IA, qui masque les dangers de fuites, de manipulations ou d’abus.
🔗 Source : https://www.theregister.com/2025/06/06/schneier_doge_risks/
🐜 La Chine accuse Taïwan de mener cinq campagnes APT inefficaces avec l’aide des États-Unis
Dans un rapport intitulé « Operation Futile », la Chine affirme que Taïwan, via son unité ICEFCOM, mène depuis des années des cyberattaques de faible intensité. Cinq groupes APT sont nommés : Poison Vine, Viola Tricolor, Anonymous 64, Neon Pothos et Ursa. Pékin critique leur dépendance aux outils publics, leur manque de 0-day et leur faible capacité à masquer leurs traces.
🔗 Source : https://www.theregister.com/2025/06/05/china_taiwan_us_apt_report/
Microsoft et la CBI démantèlent un réseau cybercriminel en Inde
Avec l’aide de Microsoft, la Central Bureau of Investigation (CBI) a mis à jour une infrastructure criminelle basée sur des faux centres de support. Des milliers de victimes ciblées dans le monde entier.
🔗 Source : https://thehackernews.com/2025/06/microsoft-helps-cbi-dismantle-indian.html
🛡️ Surfshark propose des serveurs DNS gratuits et publics
Le fournisseur VPN Surfshark met en ligne des serveurs DNS ouverts pour améliorer la vie privée des internautes, même sans VPN. Un outil simple à adopter pour renforcer sa protection.
🔗 Source : https://www.clubic.com/actualite-568071-surfshark-lance-ses-serveurs-dns-publics-et-gratuits-pourquoi-vous-pourriez-vouloir-les-utiliser-meme-sans-vpn.html
📡 Un botnet Go vise massivement les objets connectés (IoT)
Un nouveau botnet écrit en Go cible les dispositifs IoT mal sécurisés. Il exploite des identifiants par défaut et des failles non corrigées pour les enrôler et en faire des vecteurs d’attaques DDoS.
🔗 Source : https://www.linux-magazine.com/Online/News/Go-Based-Botnet-Attacking-IoT-Devices
🎭 Trafic malveillant déguisé : les cybercriminels usent d’ingéniosité
Selon Wired, les groupes cybercriminels cachent leur trafic malveillant dans du trafic réseau « banal » (CDN, hébergeurs de confiance). Une méthode redoutable pour contourner les outils de détection.
🔗 Source : https://www.wired.com/story/cybercriminals-are-hiding-malicious-web-traffic-in-plain-sight/
📅 Podcast RadioCSIRT du Dimanche 8 Juin 2025 (Ep.315)
📌 Au programme aujourd’hui :
🦠 Nouveau botnet Mirai : 50 000 enregistreurs vidéo TBK vulnérables
Une campagne active exploite la faille CVE-2024-3721 sur les DVR TBK-4104 et 4216. En injectant une commande via une requête POST piégée, les attaquants enrôlent les appareils dans un botnet DDoS. Le malware cible les architectures ARM32 et reste actif dans plusieurs régions du globe.
🔗 Source : https://www.bleepingcomputer.com/news/security/new-mirai-botnet-infect-tbk-dvr-devices-via-command-injection-flaw/
📦 Gluestack : attaque sur la chaîne d’approvisionnement NPM
16 paquets NPM populaires du projet Gluestack ont été compromis par un RAT injecté dans lib/index.js, affectant plus de 950 000 téléchargements hebdomadaires. L’attaque est toujours en cours, selon Aikido Security, et viserait également d’autres paquets comme rand-user-agent.
🔗 Source : https://securityaffairs.com/178772/malware/over-950k-weekly-downloads-at-risk-in-ongoing-supply-chain-attack-on-gluestack-packages.html
🍏 Atomic macOS Stealer : nouvelle campagne AMOS via la méthode ClickFix
Des faux sites Spectrum invitent les utilisateurs macOS à lancer un script shell piégé sous prétexte de vérification CAPTCHA. Une fois exécuté, il télécharge AMOS, un infostealer ciblant les identifiants système. La campagne utilise des domaines typosquattés et une infrastructure maladroite, trahissant une origine cybercriminelle russophone.
🔗 Source : https://thehackernews.com/2025/06/new-atomic-macos-stealer-campaign.html
📅 Podcast RadioCSIRT du Lundi 9 Juin 2025 (Ep.316)
📌 Au programme aujourd’hui :
🛫 La FAA retire enfin ses disquettes et Windows 95
La Federal Aviation Administration va moderniser ses systèmes de contrôle aérien encore basés sur des disquettes et Windows 95. 51 systèmes critiques sont jugés obsolètes. Un plan de modernisation sur 4 ans a été lancé, avec des contraintes fortes de continuité de service et de cybersécurité.
🔗 Source : https://arstechnica.com/information-technology/2025/06/faa-to-retire-floppy-disks-and-windows-95-amid-air-traffic-control-overhaul/
💥 DarkGaboon cible la Russie avec LockBit 3.0
Le groupe cybercriminel DarkGaboon, identifié par Positive Technologies, mène des attaques par ransomware LockBit 3.0 contre des entreprises russes. Phishing ciblé, absence d’exfiltration, et infrastructure autonome sont les signatures de cette campagne active depuis 2023.
🔗 Source : https://therecord.media/new-hacker-group-lockbit-target-russia
🥶 Attaque sur United Natural Foods (UNFI)
Le géant américain de la distribution alimentaire UNFI a été victime d’une cyberattaque le 5 juin, entraînant l’arrêt de plusieurs systèmes et des perturbations dans la chaîne logistique. L’incident est toujours en cours d’investigation.
🔗 Source : https://www.bleepingcomputer.com/news/security/grocery-wholesale-giant-united-natural-foods-hit-by-cyberattack/
🤖 OpenAI bloque des comptes liés à la Chine et à la Russie
OpenAI a fermé plusieurs comptes ChatGPT utilisés pour des opérations de cybercriminalité ou d’influence, dont ScopeCreep, Helgoland Bite, Sneer Review et des groupes affiliés à APT15/APT5. Objectifs : développement de malware, automatisation de posts, et espionnage technologique.
🔗 Source : https://securityaffairs.com/178797/intelligence/openai-bans-chatgpt-accounts-linked-to-russian-chinese-cyber-ops.html
🎯 70 organisations visées par un groupe d’espionnage chinois
SentinelOne révèle une vaste campagne attribuée au cluster PurpleHaze (lié à APT15/UNC5174) ayant ciblé des entités gouvernementales, médias, services IT et industries depuis mi-2024. Plusieurs outils utilisés incluent ShadowPad, GoReShell et des exploits récents non encore divulgués au moment des attaques.
🔗 Source : https://thehackernews.com/2025/06/over-70-organizations-across-multiple.html
📅 Podcast RadioCSIRT du Mardi 10 Juin 2025 (Ep.317)
📌 Au programme aujourd’hui :
Mises à jour du catalogue des vulnérabilités exploitées par la CISA
La CISA a récemment enrichi son catalogue des vulnérabilités connues et exploitées (KEV) avec deux nouvelles entrées : la CVE-2025-32433, concernant une faille d’authentification dans le serveur SSH Erlang/OTP d’Erlang, et la CVE-2024-42009, une vulnérabilité de Cross-Site Scripting dans RoundCube Webmail. Ces ajouts, basés sur des preuves d’exploitation active, soulignent l’importance pour toutes les organisations de prioriser la correction rapide de ces failles.
🔗 Source : https://www.cisa.gov/news-events/alerts/2025/06/09/cisa-adds-two-known-exploited-vulnerabilities-catalog
Vulnérabilité critique dans le Netgear EX3700 (CVE-2025-5934)
Une faille critique de débordement de tampon basée sur la pile (CVE-2025-5934) a été découverte dans le routeur Netgear EX3700, affectant la fonction sub_41619C du fichier /mtd. Cette vulnérabilité, avec un score CVSS de 8.8, est exploitable à distance et un exploit public est disponible. Il est recommandé de mettre à jour le firmware vers la version 1.0.0.98, bien que le produit ne soit plus supporté par le fabricant.
🔗 Source : https://cvefeed.io/vuln/detail/CVE-2025-5934
Panne mondiale de ChatGPT chez OpenAI
OpenAI a récemment fait face à une panne généralisée, impactant les utilisateurs de ChatGPT ainsi que les API de la société et le modèle Sora. Des messages d’erreur variés ont été signalés. OpenAI a identifié la cause racine et travaille à la résolution de l’incident, qui a également affecté des services tiers comme Perplexity AI.
🔗 Source : https://www.bleepingcomputer.com/news/technology/openai-working-to-fix-chatgpt-outage-affecting-users-worldwide/
Cinq inculpés pour le blanchiment de 36 millions de dollars volés via des arnaques aux investissements Cinq individus ont plaidé coupable pour leur implication dans le blanchiment de près de 37 millions de dollars, dérobés à des victimes américaines via des escroqueries aux investissements en cryptomonnaies orchestrées depuis le Cambodge. Ces schémas de « pig butchering » impliquaient des transferts de fonds vers des comptes bancaires et des portefeuilles numériques internationaux. 🔗 Source : https://www.bleepingcomputer.com/news/security/five-plead-guilty-to-laundering-36-million-stolen-in-investment-scams/
Les botnets Mirai exploitent une vulnérabilité critique dans Wazuh Akamai a alerté sur l’exploitation active par des botnets Mirai, y compris la variante « Resbot », de la vulnérabilité critique CVE-2025-24016. Cette faille d’exécution de code à distance affecte les serveurs Wazuh et permet une désérialisation non sécurisée. Ces botnets ciblent divers appareils IoT et se propagent rapidement en exploitant plusieurs vulnérabilités connues.
🔗 Source : https://securityaffairs.com/178830/malware/mirai-botnets-exploit-wazuh-rce-akamai-warned.html
📅 Podcast RadioCSIRT Special Patch Tuesday Juin 2025 (Ep.318)
📌 Au programme aujourd’hui :
🛡️ Patch Tuesday – Juin 2025 : Microsoft corrige 66 vulnérabilités
Microsoft a publié ses mises à jour de sécurité mensuelles avec 66 failles corrigées, dont 10 critiques. Deux vulnérabilités zero-day sont particulièrement notables :
🔸 CVE-2025-33053 : une vulnérabilité WebDAV activement exploitée par le groupe APT Stealth Falcon, permettant l’exécution de code à distance via une URL piégée.
🔸 CVE-2025-33073 : une élévation de privilège dans le client Windows SMB, divulguée publiquement avant la publication du correctif.
📊 En plus de ces failles critiques, des vulnérabilités touchent de nombreux composants : Microsoft Office, SharePoint, RDP, Netlogon, LSA, Visual Studio, et le noyau Windows.
🔄 Pour consulter la liste complète des CVE et les produits impactés, lisez les articles détaillés :
🔗 https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2025-patch-tuesday-fixes-exploited-zero-day-66-flaws/
🔗 https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/Microsoft-Patch-Tuesday-June-2025.html
📅 Podcast RadioCSIRT du Mercredi 11 Juin 2025 (Ep.319)
📌 Au programme aujourd’hui :
Telegram, infrastructure et soupçons de proximité avec les services russes
Une enquête d’iStories révèle que Vladimir Vedeneev, ingénieur en lien avec des sous-traitants du FSB, contrôle une partie critique de l’infrastructure réseau de Telegram. L’article documente ses contrats passés avec les autorités russes et pointe un risque potentiel d’interception des métadonnées des utilisateurs.
🔗 Source : https://istories.media/stories/2025/06/10/kak-telegram-svyazan-s-fsb/?tztc=1
Le DNS, première ligne de défense souvent négligée
The Hacker News rappelle que le DNS constitue un vecteur d’attaque majeur en cas de mauvaise configuration. L’article souligne l’importance du DNSSEC, du chiffrement des requêtes (DoH/DoT) et des enregistrements SPF, DKIM, DMARC pour renforcer la sécurité des services de messagerie et prévenir les détournements.
🔗 Source : https://thehackernews.com/2025/06/why-dns-security-is-your-first-defense.html
Europol cible les contenus terroristes en ligne visant les mineurs
Près de 2 000 contenus de propagande violente à destination de jeunes ont été identifiés et signalés par Europol dans le cadre d’une opération coordonnée le 27 mai. Cette campagne vise à enrayer l’embrigadement en ligne des mineurs par des groupes extrémistes.
🔗 Source : https://www.europol.europa.eu/media-press/newsroom/news/europol-coordinates-operation-against-terrorist-content-online-targeting-minors
Opération SECURE : coordination cyber en Asie-Pacifique
Le Conseil de l’Europe et INTERPOL ont coorganisé à Bangkok une session de formation pour renforcer les capacités cyber de 22 pays asiatiques. Les travaux ont porté sur les réponses aux attaques et la menace des infostealers, dans le cadre du programme GLACY-e.
🔗 Source : https://www.coe.int/en/web/cybercrime/-/operation-secure-strengthening-cybersecurity-in-asia-and-the-south-pacific
Les comptes dormants, porte d’entrée silencieuse des attaquants
ESET alerte sur les risques liés aux comptes oubliés. Un exemple en 2020 montre comment un compte inactif compromis a permis une attaque par ransomware contre un réseau municipal à Londres. Il est recommandé de supprimer ou sécuriser tous les comptes non utilisés.
🔗 Source : https://www.welivesecurity.com/en/cybersecurity/dont-let-dormant-accounts-become-doorway-cybercriminals/
Roundcube : plus de 80 000 serveurs exposés à une faille RCE
La CVE-2025-49113 (CVSS 9.9), identifiée par Kirill Firsov, affecte les versions de Roundcube antérieures aux versions 1.5.10 et 1.6.11. Elle permet une exécution de code via une désérialisation PHP non filtrée. La faille est activement exploitée.
🔗 Source : https://securityaffairs.com/178887/hacking/over-80000-servers-hit-as-roundcube-rce-bug-gets-rapidly-exploited.html
FIN6 : nouvelle campagne via de faux profils LinkedIn
Le groupe FIN6 cible les recruteurs avec des CV piégés hébergés sur AWS. Le lien vers un faux portfolio télécharge le malware MoreEggs, utilisé pour voler des identifiants et initier des compromissions en entreprise.
🔗 Source : https://therecord.media/fin6-recruitment-scam-malware-campaign
📅 Podcast RadioCSIRT du Jeudi 12 Juin 2025 (Ep.320)
📌 Au programme aujourd’hui :
🔍 Google Chrome : vulnérabilité critique dans le composant Media
La CVE-2025-5958 permet une exécution de code arbitraire via une page HTML piégée. Elle affecte les versions de Chrome antérieures à 137.0.7151.103/104. Le correctif est disponible.
🔗 Source : https://cyberveille.esante.gouv.fr/alertes/google-cve-2025-5958-2025-06-11
🛡️ Ivanti Workspace Control : clé cryptographique codée en dur
La CVE-2025-5353 autorise un contournement de la politique de sécurité et une exposition des identifiants SQL. Elle concerne les versions 10.19.0.0 et antérieures.
🔗 Source : https://cyberveille.esante.gouv.fr/alertes/ivanti-cve-2025-5353-2025-06-11
📎 Microsoft 365 Copilot : vulnérabilité d’injection de commande
La CVE-2025-32711 (CVSS 9.3) permet la divulgation non autorisée d’informations via le réseau. Elle est exploitable à distance.
🔗 Source : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32711
👮♀️ Singapour coordonne le démantèlement de centres de fraude
L’opération « Frontier+ » a permis l’arrestation de 1 800 personnes impliquées dans des escroqueries totalisant 225 millions de dollars. 32 000 comptes bancaires ont été gelés.
🔗 Source : https://therecord.media/asia-scam-center-takedowns-singapore-police
🏗️ NIST publie 19 architectures Zero Trust opérationnelles
Le guide SP 1800-35 détaille des implémentations ZTA concrètes avec des technologies commerciales, basées sur 4 ans de travaux collaboratifs.
🔗 Source : https://www.nist.gov/news-events/news/2025/06/nist-offers-19-ways-build-zero-trust-architectures
⌚ SmartAttack : des montres connectées pour exfiltrer des données
Une attaque démontre qu’un haut-parleur d’ordinateur peut transmettre des données en ultrasons vers une montre connectée. Le canal fonctionne jusqu’à 9 mètres à 50 bps.
🔗 Source : https://www.bleepingcomputer.com/news/security/smartattack-uses-smartwatches-to-steal-data-from-air-gapped-systems/
📅 Podcast RadioCSIRT du Vendredi 13 Juin 2025 (Ep.321)
📌 Au programme aujourd’hui :
🛠️ Apache Log Service : vulnérabilité API sans authentification
La CVE-2025-49181 permet à un attaquant distant non authentifié d’accéder à des informations sensibles et de modifier la configuration du service via l’API, causant potentiellement un déni de service.
🔗 Source : https://cvefeed.io/vuln/detail/CVE-2025-49181
🔎 Cisco : énumération d’identifiants sur interface web
La CVE-2025-5485 expose les routeurs Cisco à une attaque d’énumération par identifiants numériques prévisibles. Le vecteur d’attaque est réseau.
🔗 Source : https://cvefeed.io/vuln/detail/CVE-2025-5485
🦊 Mozilla Firefox : exécution de code via canvas
La CVE-2025-49709 est une vulnérabilité de type Out-of-bounds Write exploitant la fonction canvas. Affecte les versions antérieures à 139.0.4.
🔗 Source : https://cyberveille.esante.gouv.fr/alertes/mozilla-cve-2025-49709-2025-06-12
🎭 VexTrio : un empire dark adtech nourri aux faux CAPTCHAs
Une enquête d’Infoblox et Qurium révèle un réseau TDS étendu lié à la désinformation, aux malwares et aux notifications push malveillantes à travers VexTrio, LosPollos, TacoLoco et leurs affiliés.
🔗 Source : https://krebsonsecurity.com/2025/06/inside-a-dark-adtech-empire-fed-by-fake-captchas/
🔗 Source : https://thehackernews.com/2025/06/wordpress-sites-turned-weapon-how.html
📬 La Poste : serrure connectée NFC pour boîtes aux lettres
La Poste dévoile un prototype de serrure sans pile, sécurisée par chiffrement asymétrique et alimentée via NFC. Objectif : standard européen d’ici 2027.
🔗 Source : https://www.clubic.com/actualite-568650-la-poste-devoile-une-serrure-connectee-securisee-pour-boite-aux-lettres-qui-fonctionne-sans-electricite.html
🌐 Apache Tomcat : 295 IPs dans une attaque coordonnée
GreyNoise signale une vague de tentatives de brute force contre l’interface Tomcat Manager. L’activité est détectée à grande échelle, principalement depuis des IPs basées aux US, UK, Allemagne et Singapour.
🔗 Source : https://thehackernews.com/2025/06/295-malicious-ips-launch-coordinated.html
🏛️ CISA : départ d’une dirigeante et crise interne
Bridget Bean quitte la direction de la CISA, dans un contexte de pertes massives de personnel et de réduction budgétaire. L’agence reste sans direction confirmée par le Sénat.
🔗 Source : https://www.theregister.com/2025/06/12/cisa_loses_another_senior_exec/
📈 Cybersécurité : les recruteurs ciblent massivement les profils experts
Selon une étude Anssi–Afpa, 69 % des pros de la cybersécurité ont été sollicités en 1 an, souvent via le marché caché. 88 % sont satisfaits de leur emploi, mais 45 % déclarent un stress impactant leur santé.
🔗 Source : https://www.zdnet.fr/actualites/vous-travaillez-dans-la-cybersecurite-voici-pourquoi-les-recruteurs-vous-ciblent-en-priorite-477007.htm
📅 Podcast RadioCSIRT Edition spéciale Wordpress (Ep.322)
📌 Au programme aujourd’hui :
🔐 Vulnérabilités WordPress : 13 failles critiques à corriger
Une série de vulnérabilités affectent plusieurs plugins WordPress, exposant les sites à des risques variés tels que l’escalade de privilèges, la suppression de contenu, le Cross-Site Scripting (XSS) et le Cross-Site Request Forgery (CSRF).
🔧 Escalade de privilèges
CVE-2025-5288 : Le plugin Custom API Generator permet à un attaquant non authentifié de créer un compte administrateur via une requête POST malveillante.
🗑️ Suppression de contenu
CVE-2025-5282 : Le plugin WP Travel Engine autorise la suppression de publications sans authentification, en raison d’un contrôle de capacité manquant.
🧠 Contournement de la surveillance
CVE-2025-5815 : Le plugin Traffic Monitor permet à un attaquant non authentifié de désactiver la journalisation des bots via une fonction AJAX exposée.
🧪 Vulnérabilités XSS (Cross-Site Scripting)
CVE-2025-5950 : Le plugin IndieBlocks est vulnérable au XSS stocké via le paramètre ‘kind’.
CVE-2025-5939 : Le plugin Telegram for WP présente une faille XSS dans les paramètres d’administration.
CVE-2025-5841 : Le plugin ACF Onyx Poll est affecté par une vulnérabilité XSS via le paramètre ‘class’.
CVE-2025-5233 : Le plugin Color Palette permet l’injection de scripts via le paramètre ‘hex’.
CVE-2025-5123 : Le plugin Contact People est vulnérable au XSS via le paramètre ‘style’.
🛡️ Vulnérabilités CSRF (Cross-Site Request Forgery)
CVE-2025-5930 : Le plugin WP2HTML est vulnérable au CSRF en raison d’une validation de nonce manquante.
CVE-2025-5928 : Le plugin WP Sliding Login/Dashboard Panel présente une faille CSRF via la fonction wp_sliding_panel_user_options().
CVE-2025-5926 : Le plugin Link Shield est affecté par une vulnérabilité CSRF permettant la modification des paramètres.
🔗 Sources :
CVE-2025-5288 : https://cvefeed.io/vuln/detail/CVE-2025-5288
CVE-2025-5282 : https://cvefeed.io/vuln/detail/CVE-2025-5282
CVE-2025-5815 : https://cvefeed.io/vuln/detail/CVE-2025-5815
CVE-2025-5950 : https://cvefeed.io/vuln/detail/CVE-2025-5950
CVE-2025-5939 : https://cvefeed.io/vuln/detail/CVE-2025-5939
CVE-2025-5841 : https://cvefeed.io/vuln/detail/CVE-2025-5841
CVE-2025-5233 : https://cvefeed.io/vuln/detail/CVE-2025-5233
CVE-2025-5123 : https://cvefeed.io/vuln/detail/CVE-2025-5123
CVE-2025-5930 : https://cvefeed.io/vuln/detail/CVE-2025-5930
CVE-2025-5928 : https://cvefeed.io/vuln/detail/CVE-2025-5928
CVE-2025-5926 : https://cvefeed.io/vuln/detail/CVE-2025-5926