Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
⚡ Récapitulatif hebdomadaire : nouvelle faille Linux, exploit PAN-OS, attaques basées sur l'IA, phishing OAuth et plus encore
The Hacker News - TheHackerNews -
01/06
Votre récapitulatif de cybersécurité du lundi couvre les dernières menaces numériques, les faiblesses exposées, les attaques actives et les histoires de sécurité que les défenseurs doivent connaître.
Lundi a frappé comme un travail cron avec des problèmes de colère.
Un chemin d'authentification cassé ici, un faceplant côté repo là, quelque chose de « patché » déjà mâché dans la nature, et puis le tour de bonus habituel : des outils de développement empoisonnés, des discussions de forum sommaires, des kits de phishing prétendant être de la productivité et une IA abaissant la barre pour les gens qui pensaient déjà « curl | elle avait une personnalité.
L'ambiance est simple : vieux bugs, nouveaux wrappers, abus plus rapides. Corrigez d'abord les conneries évidentes. Alors lisez le reste.
⚡ Menace de la semaine
Contournement de l'authentification PAN-OS GlobalProtect en cours d'exploitation - Palo Alto Networks a averti qu'une faille de sécurité de gravité moyenne récemment révélée affectant PAN-OS et Prisma Access a été activement exploitée dans la nature. La vulnérabilité, identifiée comme CVE-2026-0257 (score CVSS : 7,8), fait référence à un cas de contournement d'authentification qui pourrait être exploité par des acteurs malveillants pour établir des connexions VPN. Le problème affecte spécifiquement les pare-feu avec le portail ou la passerelle GlobalProtect configuré lorsque les cookies de remplacement d'authentification sont activés et qu'une configuration de certificat spécifique existe, a indiqué la société de sécurité réseau.
Sécuriser l’utilisation de l’IA au sein de votre organisation commence ici
Les risques d’une IA non gouvernée au sein de votre organisation s’aggravent à la vitesse de la machine. Transformez vos priorités en matière de sécurité de l'IA en étapes concrètes avec ce guide étape par étape.
Téléchargez maintenant ➝
🔔 Meilleures nouvelles
Faille critique non corrigée dans Gogs - Le populaire service Git auto-hébergé open source Gogs est affecté par une vulnérabilité Zero Day de gravité critique qui expose les serveurs à l'exécution de code à distance (RCE), selon Rapid7. La faille d'injection peut être exploitée par des attaquants authentifiés via des pull request avec des noms de branches malveillants. "Étant donné que Gogs est livré avec un enregistrement ouvert activé par défaut et sans limite de création de référentiel, un attaquant non authentifié peut simplement créer un compte et un référentiel sur n'importe quelle instance configurée par défaut", explique la société de cybersécurité. Tout propriétaire de référentiel peut activer la fusion de rebase avec une seule bascule dans les paramètres, et l'ensemble de la chaîne d'exploitation peut être exploitée sans interaction de tout autre utilisateur. Les attaquants disposant d'un accès en écriture aux référentiels pour lesquels le rebase est activé peuvent exploiter directement la faille. "Le résultat est l'exécution arbitraire de commandes lorsque le serveur Gogs traite l'utilisateur, donnant à l'attaquant la possibilité de compromettre le serveur, de lire chaque référentiel de l'instance (y compris les dépôts privés des autres utilisateurs), de vider les informations d'identification (hachages de mot de passe, jetons API, clés SSH, secrets 2FA), de pivoter vers d'autres systèmes accessibles au réseau et de modifier le code de tout référentiel hébergé", a déclaré Rapid7. Les serveurs Gogs sous Windows, Linux et macOS qui ... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité