⚠️Important Security Alerts (CVSS > 7.5)⚠️
🚨 Critical Commvault Command Center Flaw Enables Attackers to Execute Code Remotely
Table of Contents
- 🚨 Critical Commvault Command Center Flaw Enables Attackers to Execute Code Remotely
- 📢 Lazarus frappe 6 entreprises sud-coréennes via les failles Cross EX, Innorix et le malware ThreatNeedle
- 🛡️ Vulnérabilité dans SolarWinds Serv-U (15 avril 2025)
- 🌐 Multiples vulnérabilités dans Google Chrome (16 avril 2025)
- 🔐 Multiples vulnérabilités dans les produits Mozilla (16 avril 2025)
- 🛡️ Multiples vulnérabilités dans Tenable Security Center (17 avril 2025)
- 📞 Vulnérabilité dans Cisco Webex App (17 avril 2025)
- 🐛 CVE-2025-3857 - Condition de boucle infinie dans Amazon.IonDotnet
- ⚠️ Problème avec AWS SAM CLI (CVE-2025-3047, CVE-2025-3048)
🚨 Critical Commvault Command Center Flaw Enables Attackers to Execute Code Remotely
Une faille de sécurité critique a été découverte dans Commvault Command Center, permettant potentiellement l’exécution de code arbitraire à distance sur les installations affectées. La vulnérabilité, référencée sous le nom CVE-2025-34028, a un score CVSS de 9.0 sur 10.0.
- 🐛 CVE : CVE-2025-34028
- 🔥 CVSS : 9.0
📢 Lazarus frappe 6 entreprises sud-coréennes via les failles Cross EX, Innorix et le malware ThreatNeedle
Au moins six organisations en Corée du Sud ont été ciblées par le groupe prolifique Lazarus, lié à la Corée du Nord, dans le cadre d’une campagne baptisée Operation SyncHole. L’activité a ciblé les industries sud-coréennes du logiciel, de l’informatique, de la finance, de la fabrication de semi-conducteurs et des télécommunications. Les premières preuves de compromission ont été détectées pour la première fois en.
🛡️ Vulnérabilité dans SolarWinds Serv-U (15 avril 2025)
Une vulnérabilité a été découverte dans SolarWinds Serv-U. Elle permet à un attaquant de provoquer une injection de code indirecte à distance (XSS).
🌐 Multiples vulnérabilités dans Google Chrome (16 avril 2025)
De multiples vulnérabilités ont été découvertes dans Google Chrome. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.
🔐 Multiples vulnérabilités dans les produits Mozilla (16 avril 2025)
De multiples vulnérabilités ont été découvertes dans les produits Mozilla. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et un problème de sécurité non spécifié par l’éditeur.
🛡️ Multiples vulnérabilités dans Tenable Security Center (17 avril 2025)
De multiples vulnérabilités ont été découvertes dans Tenable Security Center. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
📞 Vulnérabilité dans Cisco Webex App (17 avril 2025)
Une vulnérabilité a été découverte dans Cisco Webex App.
🐛 CVE-2025-3857 - Condition de boucle infinie dans Amazon.IonDotnet
Amazon.IonDotnet (ion-dotnet) est une bibliothèque .NET avec une implémentation du format de sérialisation de données Ion. Une condition de boucle infinie a été identifiée dans Amazon.IonDotnet. Lors de la lecture de données Ion binaires via cette bibliothèque en utilisant la classe RawBinaryReader, Amazon.IonDotnet ne vérifie pas le nombre d’octets lus depuis le flux sous-jacent lors de la désérialisation du format binaire. Si les données Ion sont malformées ou tronquées, cela déclenche une condition de boucle infinie qui pourrait potentiellement entraîner un déni de service.
- 🐛 CVE : CVE-2025-3857
⚠️ Problème avec AWS SAM CLI (CVE-2025-3047, CVE-2025-3048)
L’AWS Serverless Application Model Command Line Interface (AWS SAM CLI) est un outil CLI open-source qui aide les développeurs Lambda à construire et développer des applications Lambda localement sur leurs ordinateurs en utilisant Docker. Deux problèmes ont été identifiés dans AWS SAM CLI concernant les liens symboliques et l’accès aux fichiers privilégiés.
- 🐛 CVE : CVE-2025-3047
- 🐛 CVE : CVE-2025-3048