RadioCSIRT – Votre actu Cybersécurité du Mardi 15 Avril 2025 (Ép. 256)
🎙️ Podcast - 📌 Au programme aujourd’hui :
🔹 Microsoft Edge – CVE-2025-29834 : vulnérabilité critique corrigée
Faille Out-of-Bounds Read dans Edge Chromium permettant l'exécution de code arbitraire via une page web piégée. Patch disponible depuis le 11 avril.
📚 Source : https://cyberveille.esante.gouv.fr/alertes/microsoft-edge-cve-2025-29834-2025-04-14
🔹 AutoGPT – CVE-2025-31491 : injection de commandes via les requêtes HTTP
Une faille d'exécution de commandes permet à un attaquant d’abuser des appels vers les agents AutoGPT via des requêtes malformées. Vulnérabilité critique avec un score CVSS de 8.6.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-31491
🔹 WordPress – CVE-2025-2083 : XSS persistant dans le plugin Logo Carousel
Le paramètre sliderId permet à un utilisateur authentifié d’injecter du JavaScript dans les pages, affectant toutes les versions jusqu’à 2.1.6 incluses.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-2083
🔹 Firefox 137.0.2 – CVE-2025-3608 : race condition dans nsHttpTransaction
Une condition de concurrence peut provoquer une corruption mémoire exploitable. Vulnérabilité classée “high” par Mozilla, corrigée dans la version 137.0.2.
📚 Source : https://www.mozilla.org/en-US/security/advisories/mfsa2025-25/
🔹 Pourquoi ne pas éteindre vos systèmes en cas d’attaque ?
Arrêter les machines trop vite peut effacer les preuves, empêcher l’analyse forensique et aggraver les effets. Mieux vaut isoler que couper.
📚 Source : https://www.cybersecurity-insiders.com/why-shutting-down-systems-after-a-cyberattack-is-not-recommended/
🔹 La Chine accuse la NSA d’attaques sur ses infrastructures critiques
Trois agents américains nommés dans une campagne attribuée à la NSA visant les Jeux asiatiques d’hiver. Pékin pointe aussi du doigt deux universités américaines.
📚 Source : https://www.cybersecurity-insiders.com/china-accuses-nsa-for-launching-advanced-cyber-attacks-on-its-infrastructure/
🎧 Vous aussi, partagez vos questions, remarques ou retours d’expérience, elles seront peut-être dans le prochain épisode !
📞 Répondeur : 07 68 72 20 09
📧 Email : radiocsirt@gmail.com
🎧 Abonnez-vous pour ne rien manquer sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
🌐 Site officiel : https://www.radiocsirt.org
📰 Newsletter hebdomadaire : https://radiocsirt.substack.com
📣 Soutenez l’évolution de RadioCSIRT vers un format vidéo
Une cagnotte est en ligne pour faire grandir le projet.
🔗 https://www.leetchi.com/fr/c/faire-evoluer-radiocsirt-en-format-video-1290712
🎙️ Podcast - 📌 Au programme aujourd’hui :
🔹 Microsoft Edge – CVE-2025-29834 : vulnérabilité critique corrigée
Faille Out-of-Bounds Read dans Edge Chromium permettant l'exécution de code arbitraire via une page web piégée. Patch disponible depuis le 11 avril.
📚 Source : https://cyberveille.esante.gouv.fr/alertes/microsoft-edge-cve-2025-29834-2025-04-14
🔹 AutoGPT – CVE-2025-31491 : injection de commandes via les requêtes HTTP
Une faille d'exécution de commandes permet à un attaquant d’abuser des appels vers les agents AutoGPT via des requêtes malformées. Vulnérabilité critique avec un score CVSS de 8.6.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-31491
🔹 WordPress – CVE-2025-2083 : XSS persistant dans le plugin Logo Carousel
Le paramètre sliderId permet à un utilisateur authentifié d’injecter du JavaScript dans les pages, affectant toutes les versions jusqu’à 2.1.6 incluses.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-2083
🔹 Firefox 137.0.2 – CVE-2025-3608 : race condition dans nsHttpTransaction
Une condition de concurrence peut provoquer une corruption mémoire exploitable. Vulnérabilité classée “high” par Mozilla, corrigée dans la version 137.0.2.
📚 Source : https://www.mozilla.org/en-US/security/advisories/mfsa2025-25/
🔹 Pourquoi ne pas éteindre vos systèmes en cas d’attaque ?
Arrêter les machines trop vite peut effacer les preuves, empêcher l’analyse forensique et aggraver les effets. Mieux vaut isoler que couper.
📚 Source : https://www.cybersecurity-insiders.com/why-shutting-down-systems-after-a-cyberattack-is-not-recommended/
🔹 La Chine accuse la NSA d’attaques sur ses infrastructures critiques
Trois agents américains nommés dans une campagne attribuée à la NSA visant les Jeux asiatiques d’hiver. Pékin pointe aussi du doigt deux universités américaines.
📚 Source : https://www.cybersecurity-insiders.com/china-accuses-nsa-for-launching-advanced-cyber-attacks-on-its-infrastructure/
🎧 Vous aussi, partagez vos questions, remarques ou retours d’expérience, elles seront peut-être dans le prochain épisode !
📞 Répondeur : 07 68 72 20 09
📧 Email : radiocsirt@gmail.com
🎧 Abonnez-vous pour ne rien manquer sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
🌐 Site officiel : https://www.radiocsirt.org
📰 Newsletter hebdomadaire : https://radiocsirt.substack.com
📣 Soutenez l’évolution de RadioCSIRT vers un format vidéo
Une cagnotte est en ligne pour faire grandir le projet.
🔗 https://www.leetchi.com/fr/c/faire-evoluer-radiocsirt-en-format-video-1290712
- CSIRT
- RadioCSIRT
- CERT
- Wordpress
- Firefox
- CVE
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.