Les nouvelles vulnérabilités ont augmenté deux fois plus vite que sur le long terme au cours des dernières semaines, augmentant la pression sur les équipes de sécurité pour qu'elles mettent rapidement à jour les correctifs.
Les chercheurs de Cyble Vulnerability Intelligence ont suivi 1 782 vulnérabilités au cours de la semaine dernière, la troisième semaine consécutive au cours de laquelle les nouvelles vulnérabilités ont augmenté deux fois plus vite que sur le long terme.
Plus de 282 des vulnérabilités divulguées ont déjà une preuve de concept (PoC) accessible au public, ce qui augmente considérablement la probabilité d'attaques réelles contre ces vulnérabilités.
Au total, 207 vulnérabilités ont été classées comme critiques sur la base du système de notation CVSS v3.1, tandis que 51 ont reçu une cote de gravité critique basée sur le nouveau système de notation CVSS v4.0.
Ce sont quelques-unes des principales vulnérabilités informatiques et ICS signalées par les chercheurs de Cyble en matière de renseignements sur les menaces dans de récents rapports clients.
Principales vulnérabilités informatiques de la semaine
CVE-2025-66516 est une vulnérabilité d'injection d'entités externes XML (XXE) de gravité maximale dans les modules de base, PDF et analyseurs Apache Tika. Les attaquants pourraient intégrer des fichiers XFA malveillants dans des fichiers PDF pour déclencher XXE, ce qui pourrait permettre la divulgation de fichiers sensibles, SSRF ou DoS sans authentification.
CVE-2025-15047 est une vulnérabilité critique de dépassement de tampon basée sur la pile dans la version V1.0.0.18 du micrologiciel du routeur Tenda WH450. Les attaquants pourraient potentiellement le lancer à distance sur le réseau avec une faible complexité et il existe un exploit public, augmentant le risque d'abus généralisé.
Les vulnérabilités ajoutées au catalogue de vulnérabilités exploitées connues (KEV) de CISA incluent :
- CVE-2025-14733, une vulnérabilité d'écriture hors limites dans WatchGuard Fireware OS pourrait permettre à des attaquants distants non authentifiés d'exécuter du code arbitraire.
- CVE-2025-40602, une vulnérabilité d'élévation de privilèges locale en raison d'une autorisation insuffisante dans la console de gestion des appareils (AMC) des appareils SonicWall SMA 1000.
- CVE-2025-20393, une vulnérabilité critique d'exécution de code à distance (RCE) dans le logiciel Cisco AsyncOS affectant Cisco Secure Email Gateway et les appareils Cisco Secure Email et Web Manager. La faille aurait été activement exploitée depuis fin novembre par un groupe APT lié à la Chine, qui a déployé des portes dérobées telles qu'AquaShell, des outils de tunneling et des nettoyeurs de registre pour assurer la persistance et l'accès à distance.
- CVE-2025-14847, une vulnérabilité MongoDB de haute gravité nommée « MongoBleed » et qui serait en cours d'exploitation active. La mauvaise gestion de la vulnérabilité d'incohérence des paramètres de longueur pourrait permettre à un client non authentifié de lire la mémoire dynamique non initialisée, exposant potentiellement les données, les informations d'identification et les jetons de session.
Des vulnérabilités en discussion sur le Dark Web
Les chercheurs de Cyble Dark Web ont observé un certain nombre d’acteurs menaçants partageant des exploits et discutant des vulnérabilités de militarisation sur des forums clandestins et sur la cybercriminalité. Parmi les vulnérabilités en discussion figuraient :
CVE-2025-56157, une vulnérabilité critique des informations d'identification par défaut affectant les versions de Dify jusqu'à 1.5.1, où les informations d'identification PostgreSQL sont stockées en texte brut dans le fichier docker-compose.yaml. Les attaquants accédant aux fichiers d'implémentation ou aux référentiels de code source pourraient extraire ces informations d'identification par défaut, obtenant ainsi un accès non autorisé aux bases de données. Un exploit réussi pourrait permettre l’exécution de code à distance, une élévation de privilèges et une compromission complète des données.
CVE-2025-37164, une vulnérabilité critique d'injection de code dans HPE OneView. La faille d'exécution de code à distance non authentifié affecte HPE OneView versions 10.20 et antérieures en raison d'un contrôle inadéquat de la génération de code. La vulnérabilité existe dans le point de terminaison de l'API REST /rest/id-pools/executeCommand, accessible sans authentification, permettant potentiellement à des attaquants distants d'exécuter du code arbitraire et d'obtenir un contrôle centralisé sur l'infrastructure de l'entreprise.
CVE-2025-14558, une vulnérabilité d'exécution de code à distance de gravité critique dans les programmes FreeBSD rtsol(8) et rtsold(8) qui est toujours en attente de version NVD et CVE. L'échec se produit parce que ces programmes ne valident pas les options de liste de recherche de domaine dans les messages publicitaires du routeur IPv6, permettant potentiellement l'exécution de commandes shell en raison d'une validation d'entrée incorrecte dans resolvconf(8). Les attaquants sur le même segment de réseau pourraient exploiter cette vulnérabilité pour exécuter du code à distance ; Toutefois, l’attaque ne traverse pas les frontières du réseau, puisque les messages publicitaires du routeur ne sont pas routables.
CVE-2025-38352, une vulnérabilité de condition de concurrence critique de haute gravité dans le noyau Linux. Cette condition de concurrence temporelle de vérification et d'utilisation (TOCTOU) dans le sous-système posix-cpu-timers pourrait permettre à des attaquants locaux d'élever leurs privilèges. L'échec se produit lorsque des opérations simultanées de suppression du minuteur et de collecte de tâches créent une condition de concurrence qui ne parvient pas à détecter les états d'activation du minuteur.
Vulnérabilités ICS
Les chercheurs sur les menaces de Cyble ont également noté deux vulnérabilités du système de contrôle industriel (ICS) qui méritaient une attention prioritaire de la part des équipes de sécurité. Ils comprennent :
CVE-2025-30023, une vulnérabilité critique de désérialisation de données non fiable dans Axis Communications Camera Station Pro, Camera Station et Device Manager. Un exploit réussi pourrait permettre à un attaquant d’exécuter du code arbitraire, de mener une attaque de l’homme du milieu ou de contourner l’authentification.
Schneider Electric EcoStruxure Foxboro DCS Advisor est affecté par CVE-2025-59827, une vulnérabilité de désérialisation de données non fiable dans Microsoft Windows Server Update Service (WSUS). Un exploit réussi pourrait permettre l’exécution de code à distance, ce qui pourrait permettre à des parties non autorisées d’acquérir des privilèges au niveau du système.
Conclusion
Le nombre toujours élevé de nouvelles vulnérabilités observé ces dernières semaines constitue une nouvelle tendance inquiétante à l’approche de l’année 2026. Plus que jamais, les équipes de sécurité doivent réagir par des actions rapides et bien ciblées pour corriger les vulnérabilités les plus critiques et défendre avec succès l’informatique et les infrastructures critiques. Un programme de gestion des vulnérabilités basé sur les risques devrait être au centre de ces efforts défensifs.
Parmi les autres bonnes pratiques de cybersécurité qui peuvent aider à se protéger contre un large éventail de menaces, citons la segmentation des actifs critiques ; supprimer ou protéger les actifs du Web ; Principes d'accès Zero Trust ; sauvegardes résistantes aux ransomwares ; points de terminaison, infrastructures et configurations renforcés ; surveillance du réseau, des points finaux et du cloud ; et des plans de réponse aux incidents bien rodés.
Les solutions complètes de gestion de la surface d'attaque de Cyble peuvent aider en analysant les actifs du réseau et du cloud à la recherche d'expositions et en priorisant les mesures correctives, ainsi qu'en surveillant les fuites d'informations d'identification et d'autres signes avant-coureurs de cyberattaques majeures.