GlobalSecurityMag
392 articles repris sur Factae · cybersecurite.
Bibliothèque Go OpenTelemetry : faille critique de déni de service
Une vulnérabilité dans la bibliothèque Go OpenTelemetry permet une surcharge via l'entête baggage.
Elle expose les systèmes utilisant cette dépendance à des attaques par déni de service.
#OpenTelemetry#déni de service#Go#vulnérabilité#cybersécurité
Source(s) à lire :
HPE Aruba AOS : multiples vulnérabilités découvertes le 13 mai 2026
HPE Aruba AOS présente plusieurs vulnérabilités critiques identifiées le 13 mai.
Les failles pourraient permettre à un attaquant de compromettre les systèmes affectés.
🏢HPE🏢Aruba#vulnérabilité#HPE Aruba#AOS#cybersécurité#correctif
Source(s) à lire :
Jupyter Notebook et Nextcloud Server touchés par des failles critiques
Une faille Cross Site Scripting affecte Jupyter Notebook via son extension Help.
La vulnérabilité permet d'exécuter du code JavaScript dans le contexte du site web.
Nextcloud Server présente aussi un risque d'accès utilisateur via un contournement de session ID.
🏢Jupyter🏢Nextcloud#vulnérabilité#cybersécurité#Jupyter Notebook#Nextcloud#Cross Site Scripting
Source(s) à lire :
go-git : une faille expose des informations sensibles via Smart-HTTP
Une vulnérabilité dans go-git permet de contourner les restrictions d'accès.
Elle expose des informations sensibles lors d'un clonage via Smart-HTTP.
#go-git#vulnérabilité#Smart-HTTP#dépôts#cybersécurité
Source(s) à lire :
raylib : une faille de type buffer overflow menace les applications
Une vulnérabilité de type buffer overflow affecte raylib via GenImageFontAtlas().
Elle peut entraîner un déni de service ou l'exécution de code malveillant.
Les développeurs doivent corriger leurs versions pour éviter des exploitations.
#raylib#buffer overflow#vulnérabilité#développement#cybersécurité
Source(s) à lire :
Ivanti Endpoint Manager : trois failles critiques découvertes le 13 mai
Trois vulnérabilités affectent Ivanti Endpoint Manager depuis le 13 mai 2026.
Elles permettent à un attaquant d'exécuter des actions malveillantes sur les systèmes ciblés.
🏢Ivanti#Ivanti#vulnérabilités#cybersécurité#correctifs#Endpoint Manager
Source(s) à lire :
Apache Tomcat et libexpat : deux failles exposent les systèmes au déni de service
Apache Tomcat et libexpat présentent des vulnérabilités permettant des attaques par déni de service.
Les failles, analysées le 13 mai 2026, exploitent des erreurs de traitement des requêtes.
Les administrateurs doivent appliquer les correctifs disponibles rapidement.
🏢Apache Software Foundation#Apache Tomcat#libexpat#déni de service#vulnérabilité#correctif
Source(s) à lire :
Microsoft SQL Server : une faille permet l'exécution de code à distance
Une vulnérabilité dans Microsoft SQL Server permet à un attaquant d'exécuter du code malveillant.
La faille, identifiée le 13 mai 2026, touche les versions non corrigées du logiciel.
Microsoft#Microsoft SQL Server#vulnérabilité#exécution de code#cybersécurité#mise à jourSource(s) à lire :
AMD : une faille dans les processeurs permet une élévation de privilèges
Une vulnérabilité dans les processeurs AMD permet à un attaquant d'élever ses privilèges.
La faille, liée à une corruption du cache OP CPU, a été révélée le 13 mai 2026.
🏢AMD#AMD#processeurs#élévation de privilèges#vulnérabilité#correctif
Source(s) à lire :
Grafana : multiples vulnérabilités corrigées le 12 mai 2026
Grafana a corrigé plusieurs vulnérabilités le 12 mai 2026, exposant les systèmes à des attaques.
Les failles concernent des versions spécifiques de la plateforme de visualisation de données.
🏢Grafana#Grafana#vulnérabilités#cybersécurité#correctifs#plateforme
Source(s) à lire :
MongoDB Server : quatre vulnérabilités exposent les bases de données
Quatre failles critiques touchent MongoDB Server, dont une corruption de mémoire.
Elles permettent déni de service, exécution de code ou accès non autorisé aux données.
Les administrateurs doivent mettre à jour leurs instances pour éviter des attaques.
🏢MongoDB#MongoDB#vulnérabilités#bases de données#cybersécurité#déni de service
Source(s) à lire :
Python Core touché par trois nouvelles vulnérabilités critiques
Trois failles majeures affectent Python Core, permettant déni de service et exécution de code.
Elles concernent XML Hash Flooding, buffer overflow et traversée de répertoire via tarfile.
Les développeurs doivent appliquer les correctifs pour éviter des attaques ciblées.
🏢Python Software Foundation#Python#vulnérabilités#cybersécurité#déni de service#exécution de code
Source(s) à lire :
Siemens RUGGEDCOM ROX II : faille critique permet l’exécution de code
Une vulnérabilité dans Siemens RUGGEDCOM ROX II permet à un attaquant d’exécuter du code à distance.
Le défaut exploite un problème lié à la Key Installation dans les équipements industriels.
🏢Siemens#Siemens#RUGGEDCOM ROX II#vulnérabilité#exécution de code#cybersécurité
Source(s) à lire :
Rclone vulnérable à un déni de service via une bibliothèque externe
Une faille dans rclone, via go.etcd.io/bbolt, permet des attaques par déni de service.
Identifiée le 11 mai 2026, elle affecte les versions non corrigées.
#rclone#déni de service#cybersécurité#faille#correctif
Source(s) à lire :
Sonatype Nexus Repository vulnérable à une faille XSS critique
Une faille de type Cross Site Scripting affecte Sonatype Nexus Repository via son répertoire.
Elle permet à un attaquant d'exécuter du code JavaScript sur le site ciblé.
🏢Sonatype#cybersécurité#vulnérabilité#XSS#Sonatype#Nexus Repository
Source(s) à lire :
Vulnérabilité critique dans Distribution via Pull-through Cache
Une faille permet de contourner les restrictions d'accès aux données sensibles.
Le mode Pull-through Cache de Distribution est exploité pour obtenir des informations protégées.
Les administrateurs sont invités à appliquer les correctifs sans délai.
#vulnérabilité#cyberattaque#Pull-through Cache#sécurité informatique#correctif
Source(s) à lire :
Keycloak : une faille de chiffrement expose des données sensibles
Une vulnérabilité dans Keycloak permet à des attaquants d'accéder à des données via les JWT Public Key Validators.
La faille affecte les systèmes utilisant ce gestionnaire d'identité open source largement déployé.
🏢Keycloak#Keycloak#JWT#vulnérabilité#chiffrement#cybersécurité
Source(s) à lire :
Lexbor : deux failles critiques exposent les systèmes utilisant le parseur HTML
Deux vulnérabilités dans Lexbor permettent à un attaquant d'exécuter du code malveillant.
Le parseur HTML open source, utilisé dans des outils d'analyse web, a été corrigé le 11 mai 2026.
#Lexbor#vulnérabilités#cybersécurité#parseur HTML#correctifs
Source(s) à lire :
Progress MOVEit Transfer victime de multiples vulnérabilités
Progress MOVEit Transfer, solution de transfert de fichiers sécurisés, présente plusieurs failles critiques.
Elles permettent des élévations de privilèges, des fuites de données et des injections de code à distance.
🏢Progress#vulnérabilités#MOVEit Transfer#fuites de données#correctifs#cybersécurité
Source(s) à lire :
Faille dans follow-redirects : risque de redirection vers des sites malveillants
Une vulnérabilité dans la bibliothèque follow-redirects permet des redirections frauduleuses via HTTP Request.
Le défaut, analysé le 24 juin, expose les utilisateurs à des attaques par hameçonnage ou malware.
#vulnérabilité#cybersécurité#redirection#HTTP#malware
Source(s) à lire :
Le noyau Linux touché par plusieurs failles de sécurité
Des vulnérabilités dans le noyau Linux permettent des attaques par déni de service.
Découvertes le 11 mai 2026, elles affectent des systèmes non mis à jour.
Les distributions Linux recommandent une mise à jour immédiate.
#Linux#noyau#vulnérabilités#cybersécurité#correctifs
Source(s) à lire :
Siemens et NetApp corrigent des vulnérabilités aux impacts sévères
Siemens et NetApp publient des correctifs pour des failles dans leurs produits.
Les vulnérabilités permettent des exécutions de code arbitraire, des dénis de service et des atteintes à l’intégrité des données.
Les entreprises industrielles et les centres de données sont particulièrement exposés.
🏢Siemens🏢NetApp#vulnérabilités#Siemens#NetApp#correctifs#cybersécurité
Source(s) à lire :
Mises à jour de sécurité critiques pour AlmaLinux, Debian et Fedora
AlmaLinux, Debian et Fedora publient des correctifs pour des failles majeures.
Les vulnérabilités touchent des composants comme le noyau, nginx et libxml2.
Les administrateurs sont invités à appliquer les mises à jour sans délai.
🏢AlmaLinux🏢Debian🏢Fedora#cybersécurité#mises à jour#Linux#vulnérabilités
Source(s) à lire :
Python Core vulnérable à une surcharge via Tarfile Stream Seek
Une faille dans Python Core permet une surcharge via Tarfile Stream Seek.
L'exploitation de cette vulnérabilité peut entraîner un déni de service.
🏢Python Core#Python#vulnérabilité#déni de service#Tarfile#cybersécurité
Source(s) à lire :
IBM Db2 : une faille expose des données sensibles via les tables de monitoring
Une vulnérabilité dans IBM Db2 permet de contourner les restrictions d'accès aux données.
La faille affecte les tables de monitoring et d'événements, exposant des informations sensibles.
IBM n'a pas encore publié de correctif pour cette faille signalée en octobre 2025.
🏢IBM#IBM Db2#vulnérabilité#cybersécurité#fuite de données#correctif
Source(s) à lire :
L’IA agentique devient une menace critique pour les identités numériques
Les agents d’IA autonomes accèdent désormais à des données sensibles et déploient du code en production.
Ces systèmes, capables de provisionner des infrastructures, élargissent les surfaces d’attaque en 2025.
#IA agentique#cybersécurité#identités numériques#autonomie#menace
Source(s) à lire :
Phishing ciblant les fans de la Coupe du monde de football 2026
Des cybercriminels exploitent l'engouement pour la Coupe du monde aux États-Unis, au Canada et au Mexique.
Les attaques utilisent des offres frauduleuses de billets ou de voyages pour voler des données personnelles.
📍États-Unis📍Canada📍Mexique📍Allemagne#phishing#Coupe du monde#cybercriminalité#données personnelles#football
Source(s) à lire :
Libexpat vulnérable à une attaque par hash flooding
Une faille dans libexpat permet une surcharge via une attaque par hash flooding.
Identifiée le 8 mai 2026, elle peut provoquer un déni de service sur les systèmes affectés.
#libexpat#hash flooding#déni de service#correctif
Source(s) à lire :
Perl Starman : injection d’en-têtes via une faille de précédence
Une vulnérabilité dans Perl Starman permet l’injection d’en-têtes via une faille de précédence.
Découverte en mai 2026, elle peut modifier le comportement des services web.
#Perl Starman#injection d’en-têtes#faille#correctif
Source(s) à lire :
Traefik et Google Chrome : des failles de sécurité découvertes
Traefik présente des vulnérabilités permettant de contourner ses politiques de sécurité.
Google Chrome est aussi concerné par des failles non détaillées par l’éditeur.
Les correctifs pour Traefik sont disponibles, tandis que Chrome attend une mise à jour.
Google🏢Traefik#vulnérabilités#Traefik#Google Chrome#cybersécuritéSource(s) à lire :
pytest : élévation de privilèges via un répertoire temporaire non sécurisé
Une faille dans pytest permet une élévation de privilèges via /tmp/pytest-of-user.
L'exploitation repose sur la création de fichiers temporaires non protégés.
#pytest#élévation de privilèges#faille#sécurité#développement
Source(s) à lire :
IBM MQ expose des mots de passe dans ses journaux système
IBM MQ enregistre des informations sensibles, dont des mots de passe, dans ses journaux.
La faille permet à un attaquant d'accéder à des données critiques via une lecture des logs.
🏢IBM#IBM MQ#fuite de données#mots de passe#journaux#cybersécurité
Source(s) à lire :
Quatre failles critiques affectent nasm, Little CMS, dpkg et PHP
Des vulnérabilités majeures touchent nasm, Little CMS, dpkg et PHP, découvertes le 7 juillet 2026.
Elles permettent des dénis de service, des exécutions de code ou des problèmes de sécurité non spécifiés.
Les éditeurs et mainteneurs doivent publier des correctifs urgents pour éviter des exploitations malveillantes.
🏢PHP#vulnérabilités#cybersécurité#déni de service#exécution de code#correctifs
Source(s) à lire :
Junos Space : multiples vulnérabilités découvertes le 8 octobre 2025
Plusieurs vulnérabilités affectent Junos Space, la plateforme de gestion réseau de Juniper.
Les failles, révélées le 8 octobre 2025, pourraient être exploitées par des attaquants.
🏢Juniper#Junos Space#Juniper#vulnérabilités#cybersécurité#réseau
Source(s) à lire :
Ruby URI vulnérable à une faille d'escalade de privilèges
Une faille dans Ruby URI permet de contourner les restrictions de sécurité.
L'opérateur 'Plus' est exploité pour obtenir des privilèges utilisateur non autorisés.
🏢Ruby#Ruby#vulnérabilité#cybersécurité#escalade de privilèges#correctif
Source(s) à lire :
La Chine alerte sur une faille de sécurité dans un outil de programmation
La Chine met en garde contre une faille dans un outil de programmation d’Anthropic.
Cette faille pourrait transmettre des données sensibles sans consentement.
Les utilisateurs sont exposés à des risques de localisation et d’identification.
📍Chine
Anthropic#Chine#faille de sécurité#Anthropic#programmation#données sensibles Source(s) à lire :
Vim : exécution de code via un fichier de tags malveillant
Une faille dans Vim permet l’exécution de code via un fichier de tags malveillant.
Identifiée le 8 mai 2026, elle expose les utilisateurs à des attaques ciblées.
#Vim#exécution de code#fichier de tags#correctif
Source(s) à lire :
OpenBSD : déni de service via le serveur NFS
Une vulnérabilité dans OpenBSD permet un déni de service via son serveur NFS.
Décelée le 8 mai 2026, elle peut entraîner une erreur fatale du système.
#OpenBSD#NFS#déni de service#correctif
Source(s) à lire :
Libsoup : une faille permet de voler des cookies via des requêtes HTTP CONNECT
Une vulnérabilité dans libsoup expose les cookies de session via des requêtes HTTP CONNECT initiales.
Les attaquants peuvent contourner les restrictions d’accès pour obtenir des informations sensibles.
#libsoup#HTTP#cookies#vulnérabilité#cybersécurité
Source(s) à lire :
editorconfig-core-c : une faille critique provoque un buffer overflow
Une vulnérabilité dans editorconfig-core-c permet un buffer overflow via ec_glob().
Identifiée début mai 2026, elle peut mener à un déni de service ou à l’exécution de code.
Les mainteneurs appellent à une mise à jour urgente pour éviter des attaques ciblées.
#vulnérabilité#buffer overflow#editorconfig-core-c#déni de service#cybersécurité
Source(s) à lire :
GlobalSecurityMag sur Factae — articles recoupés | Factae