Pas d'actualité

Soutenez No Hack Me sur Tipeee

L'Actu de la veille

VMware Spring - CVE-2025-22235
Un défaut dans la fonction EndpointRequest.to() de Spring Boot permet à un attaquant, en envoyant des requêtes spécifiquement forgées, de porter atteinte à la confidentialité, à l...
https://cyberveille.esante.gouv.fr/alertes/vmware-spring-cve-2025-22235-2025-04-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

PHPGurukul COVID19 Testing Management System - CVE-2025-3974
COVID19 Testing Management System est une plateforme Web de consultation et de suivi de tests liés au COVID19. Une injection SQL dans PHPGurukul COVID19 Testing Management System...
https://cyberveille.esante.gouv.fr/alertes/phpgurukul-covid19-testing-management-system-cve-2025-3974-2025-04-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Docker - CVE-2025-3224
Un défaut lors des mises à jour de Docker desktop permet à un attaquant authentifié, en créant un dossier Docker\config spécifiquement forgé, d'obtenir les privilèges SYSTEM.
https://cyberveille.esante.gouv.fr/alertes/docker-cve-2025-3224-2025-04-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Brocade/Dell - CVE-2025-1976
Un défaut de vérification d'adresses IP dans Brocade Fabric OS permet à un attaquant, ayant certains privilèges admin, d'exécuter du code arbitraire avec les privilèges root.
https://cyberveille.esante.gouv.fr/alertes/brocadedell-cve-2025-1976-2025-04-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Apache Tomcat - CVE-2025-31650
Un défaut de gestion d'erreurs dans Apache Tomcat permet à un attaquant, en envoyant des requêtes HTTP spécifiquement forgées, de provoquer un déni de service.
https://cyberveille.esante.gouv.fr/alertes/apache-tomcat-cve-2025-31650-2025-04-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

L'Actu à J-2

ConnectWise ScreenConnect - CVE-2025-3935
Une injection de code dans le paramètre ViewState utilisé par ASP.NET Web Forms de ScreenConnect permet à un attaquant, en envoyant des requêtes spécifiquement forgées, d'exécuter...
https://cyberveille.esante.gouv.fr/alertes/connectwise-screenconnect-cve-2025-3935-2025-04-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

PHPGurukul Nipah virus (NiV) Project - CVE-2025-4026
Nipah Virus Testing Management System est une plateforme Web de consultation, de réservation et de suivi de tests liés au Virus de Nipah. Une injection SQL dans PHPGurukul Nipah...
https://cyberveille.esante.gouv.fr/alertes/phpgurukul-nipah-virus-niv-project-cve-2025-4026-2025-04-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

GitLab - CVE-2025-2443
Un défaut dans Maven Dependency Proxy de GitLab CE/EE permet à un attaquant authentifié d'injecter du code dans les entêtes de cache (injection XSS). Celui-ci, exécuté dans le...
https://cyberveille.esante.gouv.fr/alertes/gitlab-cve-2025-2443-2025-04-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Dell - CVE-2025-23375
Un défaut de gestion de privilèges dans l'API de Dell PowerProtect Data Manager Reporting permet à un attaquant d'élever ses privilèges.
https://cyberveille.esante.gouv.fr/alertes/dell-cve-2025-23375-2025-04-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Commvault - CVE-2025-3928
Un défaut dans Commvault Web Server permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, d'exécuter du code arbitraire.
https://cyberveille.esante.gouv.fr/alertes/commvault-cve-2025-3928-2025-04-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

L'Actu des jours précédents

Avast - CVE-2025-3500
Un défaut de gestion de la mémoire dans le pilote aswbidsdriver d'Avast permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, d'élever ses privilèges.
https://cyberveille.esante.gouv.fr/alertes/avast-cve-2025-3500-2025-04-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Microsoft - CVE-2025-21204
Un défaut de gestion des liens pour accéder à un fichier dans Windows Update Stack permet à un attaquant authentifié d'élever ses privilèges et d'effectuer des opérations de...
https://cyberveille.esante.gouv.fr/alertes/microsoft-cve-2025-21204-2025-04-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Commvault - CVE-2025-34028
Une vulnérabilité de type « traversée de répertoires » dans le Command Center de Commvault permet à un attaquant non authentifié d'exécuter du code arbitraire.
https://cyberveille.esante.gouv.fr/alertes/commvault-cve-2025-34028-2025-04-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

SAP - CVE-2025-31324
Un défaut dans SAP NetWeaver permet à un attaquant non authentifié, en téléversant un fichier spécifiquement forgé, d'exécuter du code arbitraire sur le système hôte.
https://cyberveille.esante.gouv.fr/alertes/sap-cve-2025-31324-2025-04-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Apache - CVE-2025-27820
Un défaut de contrôle des certificats dans HTTPClient permet à un attaquant non authentifié de contourner la politique de sécurité et de porter atteinte à la confidentialité des...
https://cyberveille.esante.gouv.fr/alertes/apache-cve-2025-27820-2025-04-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

WordPress WP Headers And Footers - CVE-2025-2111
Un défaut dans la fonction custom_plugin_set_option du plugin WordPress WP Headers And Footers permet à un attaquant de réaliser une attaque de type Cross-Site Request Forgery (CSR...
https://cyberveille.esante.gouv.fr/alertes/wordpress-wp-headers-and-footers-cve-2025-2111-2025-04-24
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

SonicWall - CVE-2025-32818
Un défaut de gestion de pointeurs dans le processus de SonicWall SonicOS permet à un attaquant, en envoyant des requêtes spécifiquement forgées, de provoquer un déni de service. 
https://cyberveille.esante.gouv.fr/alertes/sonicwall-cve-2025-32818-2025-04-24
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

IBM i - CVE-2025-2947
Un défaut dans IBM i permet à un attaquant ayant des privilèges administrateur, en envoyant des commandes spécifiquement forgées, d'obtenir les privilèges root sur le système hôte.
https://cyberveille.esante.gouv.fr/alertes/ibm-i-cve-2025-2947-2025-04-24
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

GitLab - CVE-2025-1763
Un défaut dans Maven Dependency Proxy de GitLab CE/EE permet à un attaquant authentifié d'injecter du code (injection XSS). Celui-ci, exécuté dans le navigateur de la victime, peut...
https://cyberveille.esante.gouv.fr/alertes/gitlab-cve-2025-1763-2025-04-24
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Grafana - CVE-2025-3260
Un défaut dans Grafana permet à un attaquant ayant les privilèges Viewers ou Editors de contourner les permissions et de voir, modifier ou supprimer tous les tableaux de bord dans...
https://cyberveille.esante.gouv.fr/alertes/grafana-cve-2025-3260-2025-04-24
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Hospital Management System - CVE-2023-43958
Le logiciel Hospital management System permet d'automatiser certains processus dans les hôpitaux et les cliniques.Un défaut dans le composant /jquery-file-upload/server/php/index...
https://cyberveille.esante.gouv.fr/alertes/hospital-management-system-cve-2023-43958-2025-04-23
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

GitHub - CVE-2025-3509
Une vulnérabilité de type injection de code dans GitHub Enterprise Server permet à un attaquant ayant des privilèges administrateurs, en envoyant des requêtes spécifiquement...
https://cyberveille.esante.gouv.fr/alertes/github-cve-2025-3509-2025-04-23
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Centreon - CVE-2025-3767
Une injection SQL dans la fonctionnalité Boolean KPI listing de Centreon BAM permet à un attaquant ayant des privilèges élevés, en envoyant des requêtes spécifiquement forgées, de...
https://cyberveille.esante.gouv.fr/alertes/centreon-cve-2025-3767-2025-04-23
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Synology - CVE-2025-1021
Un défaut de contrôle des permissions dans Synology DiskStation Manager permet à un attaquant de porter atteinte à la confidentialité des données.
https://cyberveille.esante.gouv.fr/alertes/synology-cve-2025-1021-2025-04-23
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

D-Link - CVE-2025-29043
Une injection de commande dans certains routeurs D-Link permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, d'exécuter du code arbitraire.
https://cyberveille.esante.gouv.fr/alertes/d-link-cve-2025-29043-2025-04-23
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Zyxel - CVE-2025-1731
Un défaut de gestion des autorisations dans Zyxel USG FLEX H uOS permet à un attaquant authentifié, en utilisant un script spécifiquement forgé ou en modifiant la configuration...
https://cyberveille.esante.gouv.fr/alertes/zyxel-cve-2025-1731-2025-04-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

WordPress Download Manager - CVE-2025-3404
Une vulnérabilité de type « traversée de répertoires » dans le plugin WordPress Download Manager permet à un attaquant ayant les privilèges Author, en supprimant des fichiers...
https://cyberveille.esante.gouv.fr/alertes/wordpress-download-manager-cve-2025-3404-2025-04-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Netgear - CVE-2025-29044
Un défaut de gestion de la mémoire dans la fonction cgiMain de certains routeurs Netgear permet à un attaquant authentifié, en envoyant des commandes spécifiquement forgées, d...
https://cyberveille.esante.gouv.fr/alertes/netgear-cve-2025-29044-2025-04-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Hewlett Packard Enterprise - CVE-2025-27086
Un défaut dans HPE Performance Cluster Manager (HPCM) permet à un attaquant de contourner l'authentification. 
https://cyberveille.esante.gouv.fr/alertes/hewlett-packard-enterprise-cve-2025-27086-2025-04-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

D-Link - CVE-2025-3785
Un défaut de gestion de la mémoire dans le composant Authorization Interface des routeurs D-Link permet à un attaquant authentifié de porter atteinte à l'intégrité, à la...
https://cyberveille.esante.gouv.fr/alertes/d-link-cve-2025-3785-2025-04-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Cisco - CVE-2025-20236
Un défaut de contrôle des données dans l'analyseur d'URL de Cisco Webex App permet à un attaquant non authentifié, en persuadant une victime de cliquer sur un lien d'invitation...
https://cyberveille.esante.gouv.fr/alertes/cisco-cve-2025-20236-2025-04-18
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Microsoft - CVE-2025-24054
Un défaut de contrôle des URL dans le protocole Windows NTLM permet à un attaquant non authentifié, en persuadant une victime d'interagir, de divulguer son hachage NTLM et d...
https://cyberveille.esante.gouv.fr/alertes/microsoft-cve-2025-24054-2025-04-18
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

OpenText - CVE-2022-26323
Une utilisation incorrecte de l'API UCMDB SDK dans OpenText Operations Bridge Manager (OBM) et Universal Discovery and CMDB (UCMDB) permet à un attaquant authentifié, en envoyant...
https://cyberveille.esante.gouv.fr/alertes/opentext-cve-2022-26323-2025-04-18
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

TP-Link - CVE-2025-25427
Un défaut dans l'interface Web des routeurs TP-Link TL-WR841N permet à un attaquant non authentifié d'injecter du code JavaScript dans la page upnp.htm (injection XSS). Celui-ci...
https://cyberveille.esante.gouv.fr/alertes/tp-link-cve-2025-25427-2025-04-18
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Erlang - CVE-2025-32433
Une absence d'authentification dans le protocole SSH des serveurs Erlang/OTP SSH permet à un attaquant non authentifié d'exécuter du code arbitraire et de manipuler la base de...
https://cyberveille.esante.gouv.fr/alertes/erlang-cve-2025-32433-2025-04-18
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Apple - CVE-2025-31201
Un défaut de contrôle de l'authentification dans le composant RPAC de plusieurs systèmes d'exploitation Apple permet à un attaquant authentifié de contourner la politique de...
https://cyberveille.esante.gouv.fr/alertes/apple-cve-2025-31201-2025-04-17
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Apple - CVE-2025-31200
Un défaut de contrôle de la mémoire dans le composant CoreAudio de plusieurs systèmes d'exploitation Apple permet à un attaquant non authentifié, en persuadant une victime de...
https://cyberveille.esante.gouv.fr/alertes/apple-cve-2025-31200-2025-04-17
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

SourceCodester - CVE-2025-3694
Web-based Pharmacy Product Management System est un projet libre PHP utilisant la base de données mySQL et mis à disposition sur la plateforme SourceCodester. Cette application...
https://cyberveille.esante.gouv.fr/alertes/sourcecodester-cve-2025-3694-2025-04-17
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

TP-Link - CVE-2025-29653
Une vulnérabilité de type injection SQL dans les champs Username et Password du routeur TP-Link M7450 permet à un attaquant non authentifié, en envoyant des requêtes SQL...
https://cyberveille.esante.gouv.fr/alertes/tp-link-cve-2025-29653-2025-04-17
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

WordPress - CVE-2025-0308
Un défaut de contrôle des données entrées par les utilisateurs dans le paramètre search du plugin Wordpress Ultimate Member permet à un attaquant non authentifié, en envoyant des...
https://cyberveille.esante.gouv.fr/alertes/wordpress-cve-2025-0308-2025-04-17
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Google - CVE-2025-3619
Un défaut de contrôle de la mémoire dans les codecs de Google Chrome permet à un attaquant non authentifié, en persuadant une victime de consulter une page HTML spécifiquement...
https://cyberveille.esante.gouv.fr/alertes/google-cve-2025-3619-2025-04-16
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Mozilla - CVE-2025-3522
Un défaut de contrôle des URLs dans Mozilla Thunderbird permet à un attaquant, en persuadant une victime de consulter une pièce jointe spécifiquement forgée, de porter atteinte à...
https://cyberveille.esante.gouv.fr/alertes/mozilla-cve-2025-3522-2025-04-16
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Oracle - CVE-2025-30712
Une vulnérabilité dans le noyau d'Oracle VirtualBox permet à un attaquant ayant des privilèges élevés de manipuler la base de données. 
https://cyberveille.esante.gouv.fr/alertes/oracle-cve-2025-30712-2025-04-16
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

WordPress - CVE-2025-3439
Une désérialisation non sécurisée d'objets PHP dans le paramètre field_value du plugin Everest Forms pour WordPress permet à un attaquant non authentifié, en envoyant un objet PHP...
https://cyberveille.esante.gouv.fr/alertes/wordpress-cve-2025-3439-2025-04-16
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Nagios - CVE-2025-29471
Un défaut dans Nagios Log Server permet à un attaquant non authentifié d'injecter du code Javascript via le champ « Email » (injection XSS). Celui-ci, exécuté dans le navigateur de...
https://cyberveille.esante.gouv.fr/alertes/nagios-cve-2025-29471-2025-04-16
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

TP-Link - CVE-2025-32107
Une vulnérabilité de type injection de commande dans l'interface de gestion des routeurs TP-Link Deco BE65 Pro permet à un attaquant authentifié, en envoyant des requêtes...
https://cyberveille.esante.gouv.fr/alertes/tp-link-cve-2025-32107-2025-04-15
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

MedDream - CVE-2025-3482
MedDream PACS Server est un serveur d'archivage et de communication d'images médicale conforme au standard DICOM (Digital Imaging and Communications in Medicine) 3.0. Un défaut de...
https://cyberveille.esante.gouv.fr/alertes/meddream-cve-2025-3482-2025-04-15
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Linux/Android - CVE-2024-53197
Un défaut de contrôle de la mémoire dans le pilote USB-audio du noyau Linux permet à un attaquant authentifié de porter atteinte à la confidentialité, d'élever ses privilèges ou d...
https://cyberveille.esante.gouv.fr/alertes/linuxandroid-cve-2024-53197-2025-04-15
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

GNOME - CVE-2025-32911
Un défaut d'allocation de la mémoire dans le fichier soup-message-headers.c de la librairie GNOME libsoup permet à un attaquant non authentifié, en envoyant des requêtes HTTP...
https://cyberveille.esante.gouv.fr/alertes/gnome-cve-2025-32911-2025-04-15
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Dell - CVE-2025-29986
Un défaut de contrôle des communications dans le Common Antivirus Agent (CAVA) de Dell Common Event Enabler permet à un attaquant non authentifié, en envoyant des requêtes...
https://cyberveille.esante.gouv.fr/alertes/dell-cve-2025-29986-2025-04-15
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Microsoft Edge - CVE-2025-29834
Un défaut de gestion de la mémoire dans Microsoft Edge permet à un attaquant non authentifié, en persuadant une victime de consulter un site web spécifiquement forgé, d'exécuter du...
https://cyberveille.esante.gouv.fr/alertes/microsoft-edge-cve-2025-29834-2025-04-14
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

D-Link - CVE-2025-3538
Un défaut de gestion de la mémoire dans le fichier /auth.asp des routeurs D-Link DI-8100 permet à un attaquant non authentifié, en envoyant des requêtes HTTP spécifiquement forgées...
https://cyberveille.esante.gouv.fr/alertes/d-link-cve-2025-3538-2025-04-14
Partager : LinkedIn / Twitter / Facebook / View / View (lite)