Veille Technologique - Vulnérabilités Web
Retrouvez ici les analyses des principales vulnérabilités web : XSS, SQLi, CSRF, et bien d’autres, avec des explications détaillées et des exemples concrets.
Cyberattaque du Service public de Wallonie : Microsoft dépêché en urgence
📅 Date 18 avril 2025
🏷 Catégorie / Type
- Supply-chain · Gouvernement · Belgique
Résumé :
Dans la nuit du 17 au 18 avril, les services IT du Service public de Wallonie (SPW) ont été paralysés par une cyberattaque. Toutes les connexions Internet des fonctionnaires ont été coupées par précaution ; les portails citoyens sont restés inaccessibles plusieurs jours. La Région a fait appel à Microsoft pour l’analyse forensique et la remise en service.
Commentaire personnel
Cas parfait pour illustrer l’impact d’une attaque sur une administration : indisponibilité de services critiques + communication de crise. Intéressant de comparer la chronologie : attaque → isolement réseau → reprise progressive (voir article du 6 mai). Bon sujet de discussion en cours : faut-il segmenter plus finement les réseaux prod/bureau ?
RVTools Official Site Hacked to Deliver Malware
📅 Date 19 Mai 2025
🏷 Catégorie / Type
Supply Chain Attack
Malware distribution
Site web compromis
Résumé :
Le site officiel de RVTools, un outil populaire pour gérer les environnements VMware, a été compromis. Les attaquants ont injecté du code malveillant pour livrer des logiciels malveillants aux utilisateurs téléchargeant l’outil depuis le site officiel. Cette attaque s’inscrit dans la catégorie des attaques sur la chaîne d’approvisionnement (supply chain), visant à infecter les utilisateurs en exploitant leur confiance dans des sources réputées.
Commentaire personnel
Cet exemple montre l’importance de vérifier l’intégrité des téléchargements, même depuis des sites officiels. Comme pentester, il est essentiel de sensibiliser les entreprises à ce type d’attaque qui contourne les protections classiques. Des outils comme Burp Suite ou des scanners réseau peuvent aider à repérer les anomalies dans les téléchargements, mais la vigilance humaine reste clé.
Plus de 70 paquets npm et extensions VS Code malveillants volent données et cryptos
📅 26 Date Mai 2025
🏷 Catégorie / Type
Supply-Chain (npm), Data Stealer
Résumé :
60+ paquets npm (et 3 extensions VS Code) contenaient des scripts d’install déclenchant la collecte d’IPs, chemins projets, DNS, puis exfiltration via webhook Discord. Certains paquets sabotaient aussi des projets React/Vue en supprimant des fichiers, ou désactivaient Windows Defender.
Commentaire personnel
Montre que la chaîne d’approvisionnement JS reste un vecteur majeur. Intéressant de reproduire l’analyse avec un outil de sandbox (ex. docker + npm i) et Burp Suite pour observer les appels sortants vers Discord.
Mimo Hackers exploitent CVE-2025-32432 pour prendre contrôle de Craft CMS
📅 28 Date Mai 2025
🏷 Catégorie / Type
RCE, CMS, Cryptojacking
Résumé :
Une faille d’exécution de code à distance (CVE-2025-32432) tout juste corrigée dans Craft CMS est déjà exploitée pour déposer un cryptominer (XMRig) et un proxyware via un loader baptisé « Mimo ». Les attaquants téléversent un web-shell puis exécutent un script (“4l4md4r.sh”) qui installe la charge utile.
Commentaire personnel
Excellent cas d’école : on voit la rapidité (moins d’un mois) entre la divulgation d’un PoC et l’exploitation active. À tester en labo : scanner une instance Craft non patchée avec Burp Suite pour vérifier la présence du web-shell, puis démontrer l’impact (CPU à 100 % quand le miner tourne)
Zimbra corrige une SQL Injection (CVE-2025-25064) et deux failles XSS/SSRF
📅 Date 10 février 2025
🏷 Catégorie / Type
SQL Injection · XSS · SSRF
Résumé :
imbra Collaboration ≤ 10.0.11 contenait une SQL i critique (CVSS 9.8) dans l’endpoint SOAP ZimbraSync Service. Un attaquant authentifié pouvait extraire des métadonnées de mails via des requêtes SQL arbitraires. Le patch corrige aussi une XSS stockée dans l’interface « Classic » et une SSRF (CVE-2025-25065) dans le parseur RSS
Commentaire personnel
Bon exemple d’attaque “post-auth” : il faut auditer même les API internes. Intéressant à reproduire en labo : lancer Burp Suite, s’authentifier sur une version vulnérable puis forger la requête SOAP pour confirmer l’extraction de données.
SQL Injection non authentifiée dans VMware Avi Load Balancer (CVE-2025-22217)
📅 Date 29 janvier 2025
🏷 Catégorie / Type
SQL Injection · Infrastructure Web
Résumé :
Broadcom alerte sur une SQL Injection « blind » permettant, sans authentification, l’accès à la base de données du VMware Avi Load Balancer. Sont touchées les versions 30.1.1, 30.1.2, 30.2.1 et 30.2.2 ; patch disponible en 30.x-2p2/2p5. Pas de correctif de contournement : mise à jour impérative.
Commentaire personnel
Montre que les composants réseau/comptes d’orchestration peuvent contenir des failles “classiques” de web-app. À tester : fuzz d’API REST avec SQLMap —tamper pour valider l’injection, puis démontrer l’importance d’isoler ces appliances.
5 vraies failles qui mènent à la compromission : SSRF, SQLi, XSS, IDOR
📅 Date 28 avril 2025
🏷 Catégorie / Type
Étude de cas · Vulnérabilités multiples
Résumé :
’équipe bug-bounty d’Intruder détaille cinq chaines d’attaque réelles :
1️⃣ SSRF détournant l’IMDS AWS pour voler des credentials.
2️⃣ .git exposé → SQL Injection aveugle → dump DB.
3️⃣ Téléversement de PDF malveillant via ExifTool (RCE).
4️⃣ Self-XSS + cache poisoning → XSS persistant site-wide.
5️⃣ IDOR simples menant à la fuite massive de données.
Commentaire personnel
Article parfait pour illustrer la chaîne d’exploitation : petites failles combinées ⇒ RCE ou prise de compte admin. Idéal pour un TP : reproduire le cas Self-XSS + cache poisoning dans un lab et montrer la montée en gravité.
Joomla Core — SQL Injection dans quoteNameStr()
📅 Date 9 avril 2025
🏷 Catégorie / Type
SQL i · CMS · Joomla
Résumé :
Vigilance.fr décrit une injection SQL dans le cœur Joomla ≤ 4.4.12 / 5.2.5 : le helper quoteNameStr() n’échappe pas les entrées, permettant lecture ou modification de la BD.
vigilance.fr
Commentaire personnel
Parfait TP : déployer Joomla 5.2.5, lancer sqlmap --tamper=space2comment --dbms=mysql, puis appliquer le patch 5.2.6 et constater la mitigation.
RCE non authentifiée dans XWiki via la macro SolrSearch
📅 Date 3 juin 2025
🏷 Catégorie / Type
RCE · Wiki · Java
Résumé :
OffSec montre qu’un champ recherche exécute du Groovy arbitraire ; patch : XWiki 15.1.
Commentaire personnel
Injecter ${print(Runtime.runtime.exec("id"))} dans la barre de recherche d’une XWiki 15.0 Docker pour prouver l’exécution de code.
Oxidized Web 0.14 — overwrite de fichier local ⇒ RCE
📅 Date 18 avril 2025
🏷 Catégorie / Type
RCE · DevOps · Ruby/Sinatra
Résumé :
Un POST sur /migration peut écraser n’importe quel fichier writable par l’utilisateur oxidized. Patch : v0.15.
Commentaire personnel
Démo : écraser /usr/bin/oxidized par un shell inversé, redémarrer le service, récupérer un shell root.
Installateur RVTools trojanisé diffuse le malware Bumblebee
📅 Date 19 mai 2025
🏷 Catégorie / Type
Supply-chain · Installer · Malware
Résumé :
Le site officiel RVTools a servi un MSI modifié chargeant un DLL Bumblebee.
Commentaire personnel
Insister sur la vérification de hash / signature Authenticode avant déploiement.
Droits Gerrit mal configurés — code Google exposé à l’injection
📅 Date 18 juin 2025
🏷 Catégorie / Type
Git · Misconfiguration · Supply-chain
Résumé :
SecurityWeek révèle qu’un rôle “Push” trop large permettait de fusionner du code malveillant dans certains projets Google.
Commentaire personnel
Exemple frappant d’attaque chaîne CI/CD ; à montrer dans un lab Gerrit local.
Openprovider fuite 100 Go de données clients et scripts internes
📅 Date 19 juin 2025
🏷 Catégorie / Type
Data Leak · Registrar · DNS
Résumé :
Un bucket S3 public contenait codes de transfert, factures PDF, scripts d’admin.
Commentaire personnel
Illustrer l’importance d’un scanner S3 public dans toute démarche DevSecOps.
Les IA d’assistance code génèrent… du code vulnérable
📅 Date 19 juin 2025
🏷 Catégorie / Type
Secure Coding · IA · OWASP
Résumé :
Help Net Security montre que mauvais datasets + prompts laxistes produisent XSS, SQL i, secrets en clair.
Commentaire personnel
Tester Copilot vs SonarLint et mesurer le taux de problèmes OWASP Top 10.
Zero-click Microsoft Copilot — évasion de données sans interaction
📅 Date 11 juin 2025
🏷 Catégorie / Type
AI · Zero-click · Microsoft
Résumé :
Un JSON piégé dans Copilot Web déclenchait une requête interne et exfiltrait la réponse.
Commentaire personnel
Mettre en place un lab Copilot pré-patch pour reproduire l’attaque SSRF via chat.
OWASP 2025 — « Secret Leakage » n° 2 des risques Non-Human Identities
📅 Date 13 juin 2025
🏷 Catégorie / Type
OWASP · Secrets · API
Résumé :
Nouvel OWASP Top 10 expose la fuite de tokens CI/CD comme risque majeur.
Commentaire personnel
Introduire Vault + rotation dans les démos Jenkins / GitLab.
SQL Injection dans une API interne… derrière Cloudflare !
📅 Date 13 juin 2025
🏷 Catégorie / Type
SQL i · WAF Bypass · Bug Bounty
Résumé :
Un chercheur décrit une SQL i time-based dans une API protégée par Cloudflare en jouant sur la latence (SLEEP(5)).
Commentaire personnel
Démonstration que “WAF ≠ immunité”. TP : activer Cloudflare Free, injecter SLEEP(5) via Burp Collaborator.
Linux LPE (CVE-2023-0386) activement exploitée — alerte CISA
📅 Date 19 juin 2025
🏷 Catégorie / Type
Priv-Esc · Kernel · CISA
Résumé :
Le bug overlayfs permet d’obtenir root sur Ubuntu, Debian, Fedora ; PoC public accessible.
Commentaire personnel
Chaîne d’attaque web : foothold PHP → LPE CVE-2023-0386 → root → pivot réseau.
Scan Shodan — 26 serveurs IIS wallons exposés après la cyberattaque SPW
📅 Date 2 mai 2025
🏷 Catégorie / Type
Belgique · Supply-chain · Veille Active
Résumé :
Requête org:"Service Public de Wallonie" http.title:"IIS" : 26 hôtes HTTP/80, 14 sans TLS 1.3 ni patch libpq.
Commentaire personnel
Exemple concret de veille active : cartographier la surface pour anticiper les attaques post-incident.
Campagne de brute-force cible les consoles Apache Tomcat Manager
📅 Date 11 juin 2025
🏷 Catégorie / Type
Bruteforce · Tomcat · Web Server
Résumé :
Des centaines d’IPs testent manager/html et déploient des web-shells .war après brute-force creds.
Commentaire personnel
Veille active possible : Shodan title:"Apache Tomcat Manager" + fail2ban pour bloquer.
PoC CSRF — bannir un utilisateur 24 h sur une boutique en ligne
📅 Date 14 juin 2025
🏷 Catégorie / Type
CSRF · Bug Bounty · E-commerce
Résumé :
Endpoint /banUser sans token CSRF permet de bloquer n’importe quel compte pendant 24 h.
medium.com
Commentaire personnel
générer le formulaire PoC avec Burp, ajouter SameSite=Lax pour corriger.
Burp Suite DAST 2025.5.2 — agents Linux, Windows, Kubernetes
📅 Date 18 juin 2025
🏷 Catégorie / Type
Outil · Burp Suite · DevSecOps
Résumé :
Nouvelle version ajoute mises à jour automatiques et déploiement agent pour scans CI/CD.
Commentaire personnel
Je l’intègre dans GitLab CI pour scanner mes micro-services avant déploiement.
OWASP Top 10 LLM — Data & Model Poisoning, un risque majeur
📅 Date 17 juin 2025
🏷 Catégorie / Type
OWASP · LLM · AI Security
Résumé :
Check Point analyse le nouveau Top 10 pour applications LLM : Data Poisoning, Prompt Injection, Model DOS.
Commentaire personnel
Comparer au Top 10 classique 2021 pour illustrer l’évolution des menaces IA.