Voici un résumé des quelques vulnérabilités pour cette semaine qui m’ont interpellé :
- Extensions VSCode retirées : Microsoft a supprimé deux extensions VSCode populaires en raison de la présence de code malveillant
- Microsoft Azure AI Face Service : Microsoft a corrigé deux vulnérabilités critiques, CVE-2025-21396 et CVE-2025-21415, affectant Azure AI Face Service et Microsoft Account. Ces failles permettent une élévation des privilèges par contournement de l’authentification, avec un score CVSS de 9.9 pour la seconde. Un exploit existe pour CVE-2025-21415.
- Vulnérabilités dans les produits Atlassian :CVE-2024-50379,CVE-2024-56337 : Exécution de code arbitraire à distance dans Confluence
- Vulnerabilités dans Gitlab : Dans le proxy K8s CVE-2025-0475