Space & Security News

Injection de commande OS critique dans yii_command_help/yii_execute_command permettant à un attaquant distant d'exécuter des commandes arbitraires.

Vulnérabilité permettant à un utilisateur authentifié d'accéder à des données secrètes Kubernetes en clair, risque élevé d'exfiltration de données sensibles.

Déni de service via manipulation de reg_type, impact modéré mais potentiellement disruptif pour les services réseau.

XSS stocké permettant à des utilisateurs authentifiés avec des privilèges d'auteur d'injecter des scripts malveillants, impact potentiellement élevé sur les utilisateurs administrateurs.

XSS stocké permettant à des utilisateurs authentifiés avec des privilèges de contributeur d'injecter des scripts malveillants, impact potentiellement élevé sur les utilisateurs administrateurs.

Autorisation incorrecte via manipulation de ruleClass, permettant à un attaquant distant de contourner les contrôles d'accès.

Référence d'objet direct non sécurisée permettant à des utilisateurs authentifiés de modifier les avatars de profil d'autres utilisateurs, y compris les administrateurs.

Accès non autorisé aux données et modification des paramètres du plugin, permettant à des attaquants non authentifiés de modifier les paramètres du plugin.

XSS stocké permettant à des utilisateurs authentifiés avec des privilèges de contributeur d'injecter des scripts malveillants dans les attributs de classe et d'ID.

Téléversement de fichiers arbitraires permettant à des attaquants non authentifiés d'exécuter du code à distance, impact critique.

Exposition d'informations sensibles permettant à des utilisateurs authentifiés avec des privilèges d'abonné d'accéder à des jetons OAuth sensibles.

Accès non autorisé permettant à des utilisateurs authentifiés avec des privilèges d'abonné de rediriger les emails, potentiellement utilisable pour une escalade de privilèges.

Contournement d'authentification permettant à des attaquants non authentifiés de se connecter en tant qu'utilisateur avec une adresse email vérifiée.

Falsification de requête côté serveur via manipulation de files, permettant à un attaquant distant de contourner les contrôles d'accès.

Falsification de requête côté serveur via manipulation de originUrl database, permettant à un attaquant distant de contourner les contrôles d'accès.

Élévation de privilèges permettant à des utilisateurs authentifiés avec des privilèges d'abonné d'élever leurs privilèges à administrateur sur n'importe quel sous-site.

XSS stocké permettant à des attaquants non authentifiés d'injecter des scripts malveillants dans les valeurs des champs d'option de produit.

XSS stocké permettant à des attaquants non authentifiés d'injecter des scripts malveillants dans les champs de produit unique lorsqu'ils sont utilisés dans des champs répétiteurs.

XSS stocké permettant à des attaquants non authentifiés d'injecter des scripts malveillants dans les valeurs des champs de produit caché lorsqu'ils sont utilisés dans des champs répétiteurs.

XSS stocké permettant à des attaquants non authentifiés d'injecter des scripts malveillants dans les noms de produit de calcul lorsqu'ils sont rendus dans des champs répétiteurs.

XSS stocké permettant à des attaquants non authentifiés d'injecter des scripts malveillants dans les entrées de consentement cachées.

XSS stocké permettant à des utilisateurs authentifiés avec des privilèges d'administrateur d'injecter des scripts malveillants dans les paramètres d'administration.

Falsification de requête côté serveur permettant à des utilisateurs authentifiés avec des privilèges d'administrateur d'effectuer des requêtes web vers des emplacements arbitraires.

XSS stocké permettant à des utilisateurs authentifiés avec des privilèges de contributeur d'injecter des scripts malveillants dans les paramètres de préfixe de numéro de contenu.

Falsification de requête côté serveur permettant à des attaquants non authentifiés d'effectuer des requêtes web vers des emplacements arbitraires.

Injection d'objet PHP permettant à des attaquants non authentifiés d'injecter des objets PHP arbitraires dans la mémoire de l'application.

Falsification de requête côté serveur via manipulation de files, permettant à un attaquant distant de contourner les contrôles d'accès.

Exécution de code à distance permettant à des utilisateurs authentifiés avec des privilèges de contributeur d'exécuter du code sur le serveur via des expressions de logique d'affichage.

Contournement d'autorisation permettant à des attaquants non authentifiés de modifier le statut de n'importe quel don via l'ID du don.

Falsification de requête côté serveur permettant à des utilisateurs authentifiés avec des privilèges de contributeur d'effectuer des requêtes vers des URL arbitraires.

Autorisation incorrecte permettant à des attaquants non authentifiés d'approuver n'importe quelle réservation en état d'attente.

Injection SQL aveugle basée sur le temps permettant à des utilisateurs authentifiés avec des privilèges d'abonné d'extraire des informations sensibles de la base de données.

Injection de commande OS permettant à un attaquant distant d'exécuter des commandes arbitraires, impact modéré mais potentiellement disruptif.

Débordement de tampon permettant à un attaquant distant d'exécuter du code arbitraire, impact critique.

Injection SQL aveugle basée sur le temps permettant à des attaquants non authentifiés d'extraire des informations sensibles de la base de données.

Modification non autorisée de données permettant à des attaquants non authentifiés de modifier les métadonnées de configuration d'action de formulaire.

XSS stocké permettant à des attaquants non authentifiés d'injecter des scripts malveillants dans les soumissions de formulaire.

Injection de commande OS permettant à un attaquant distant d'exécuter des commandes arbitraires, impact modéré mais potentiellement disruptif.

XSS stocké permettant à des utilisateurs authentifiés avec des privilèges de contributeur d'injecter des scripts malveillants dans les titres de publication.

Injection SQL permettant à des attaquants authentifiés d'exécuter des commandes SQL arbitraires, impact critique.

Téléversement de fichiers arbitraires permettant à des attaquants privilégiés d'exécuter du code arbitraire sur le serveur.

Référence d'objet direct non sécurisée permettant à des attaquants authentifiés de lire et modifier les données d'autres utilisateurs.

Injection de commande OS permettant à un attaquant distant d'exécuter des commandes arbitraires, impact modéré mais potentiellement disruptif.

Transmission en clair d'informations sensibles permettant à un attaquant distant d'intercepter des informations sensibles.

Vérification insuffisante de l'authenticité des données permettant à un attaquant distant de contourner les contrôles d'authenticité.

Injection SQL permettant à un attaquant distant d'exécuter des commandes SQL arbitraires, impact modéré.

Traversée de chemin permettant à un attaquant distant d'accéder à des fichiers sensibles, impact modéré mais potentiellement disruptif.

Injection SQL aveugle basée sur le temps permettant à des attaquants non authentifiés d'extraire des informations sensibles de la base de données.

Injection SQL aveugle basée sur le temps permettant à des attaquants non authentifiés d'extraire des informations sensibles de la base de données.

Injection SQL aveugle basée sur le temps permettant à des attaquants non authentifiés d'extraire des informations sensibles de la base de données.

Modification non autorisée permettant à des utilisateurs authentifiés avec des privilèges d'abonné de modifier la configuration du webhook Stripe.

XSS stocké permettant à des utilisateurs authentifiés avec des privilèges de contributeur d'injecter des scripts malveillants dans les paramètres de SVG personnalisés.

Lecture de fichiers arbitraires permettant à des attaquants non authentifiés de lire des fichiers locaux sensibles.

Plantage du disséqueur de protocole IEEE 802.11 dans Wireshark, impact modéré mais potentiellement disruptif.

XSS stocké permettant à des attaquants non authentifiés d'injecter des scripts malveillants dans les paramètres de raison de notation.

Injection de commande permettant à un attaquant distant d'exécuter des commandes arbitraires, impact modéré mais potentiellement disruptif.

XSS stocké permettant à des utilisateurs authentifiés avec des privilèges de contributeur d'injecter des scripts malveillants dans les attributs de code court.

Référence d'objet direct non sécurisée permettant à des utilisateurs authentifiés avec des privilèges de vendeur de supprimer des utilisateurs arbitraires.

Exposition d'informations sensibles permettant à des attaquants non authentifiés d'extraire des adresses email, des noms d'utilisateur et des ID d'utilisateur.

Injection de commande permettant à un attaquant distant d'exécuter des commandes arbitraires, impact modéré mais potentiellement disruptif.

Authentification incorrecte permettant à un attaquant distant de contourner les contrôles d'authentification.

Autorisation incorrecte permettant à un attaquant distant de contourner les contrôles d'autorisation.

Injection SQL permettant à un attaquant distant d'exécuter des commandes SQL arbitraires, impact critique.

Inclusion de fichier permettant à un attaquant distant d'inclure des fichiers arbitraires, impact modéré mais potentiellement disruptif.

Injection de commande OS permettant à un attaquant distant d'exécuter des commandes arbitraires, impact modéré mais potentiellement disruptif.

Politique de domaine inter-domaines permissive permettant à un attaquant distant de contourner les contrôles de sécurité.

Autorisation incorrecte permettant à un attaquant distant de contourner les contrôles d'autorisation.

Traversée de chemin permettant à un attaquant distant d'accéder à des fichiers sensibles, impact modéré mais potentiellement disruptif.

NASA astronaut Chris Williams photographed a fireball from above recently, capturing the stunning site from aboard the International Space Station.

Lego's larger Yoda models do not have a great track record, but this Lego Star Wars Yoda bust is such astonishing spectacle I have to own it. Or several.

The human heart shrivels away in space, but researchers have found that mini-hearts grown from human stem cells sprout in space significantly faster than in labs on Earth.

From chasing the Milky Way to using your eyes as nature intended, here are some often-overlooked truths that make all the difference under the night sky.

Astronomers call this "eruptive mass loss," and it's a stellar drama we're still trying to fully grasp.

A Falcon 9 rocket stands poised to launch from the Space Launch Complex 4E at Vandenberg Space Force Base in California. File Photo: SpaceX SpaceX will launch 45 payloads on an overnight rideshare mission aboard a Falcon 9 rocket from Vandenberg...

Finally, Mando's sleek N-1 starfighter gets the Lego Star Wars UCS set it deserves and, if you're fast, you can claim a free Lego model of the fabled Darksaber.

SpaceX will launch 45 satellites to orbit from California early Sunday morning (May 3), and you can watch the action live.

On Episode 208 of This Week In Space, Rod Pyle and Tariq Malik talk with Space.com's Mike Wall about the risks and realities of the new space race to the moon.

Not only is Lego launching a host of new models this Star Wars Day, there are some fantastic sets out there already. We've harnessed the power of the Dark Side to bring you the very best.

You know it's thriller, thriller night

Photos from around the space team.

The Flower Moon will be followed by a rare full Blue Moon on May 31.

Venus, Jupiter and Mercury headline May's skywatching, with stunning moon pairings and a three-planet display.

Shooting stars and the occasional fireball may be seen whenever the constellation Aquarius is above the horizon.

They didn't get a parade, but they're certainly being paraded on the big networks.

Drone-mounted radar flown over glaciers on Earth show how the technology can map buried ice in detail, helping future Mars spacecraft choose exactly where to drill.

Few went to see the movie in theaters, but 'Slither' still proved that Gunn was a director to watch

Portrait of Janet Petro, center director for NASA’s Kennedy Space Center in Florida.Credit: NASA NASA announced Friday Janet Petro, center director for the agency’s Kennedy Space Center in Florida, is retiring. Prior to joining NASA, Petro worked...

A show that began life as a period piece is now unashamedly hard science fiction.

BrowserQuest est de retour les amis ! Hé ouais, el famoso MMO HTML5 que Little Workshop avait pondu pour Mozilla en 2012 vient de ressurgir sur threej.in , alors que Mozilla avait officiellement archivé le repo GitHub en janvier 2024. En allant...

108 Go par heure. C'est ce que Windrose, le RPG de pirates en Early Access publié par Kraken Express le 14 avril dernier, écrivait silencieusement sur les SSD des joueurs, sans aucune mention dans les notes de mise à jour. Avec déjà 1,5 million...

Un maker a transformé une réplique grandeur nature de C-3PO en assistant vocal interactif, et le résultat est franchement convaincant. Sa version du droïde papote, répond à vos questions, et tient même une conversation, le tout sans dépendre du...

Quand j'achète un truc avec ma CB, c'est vrai que j'évite maintenant de demander le ticket de carte bancaire. Ça ne me sert à rien, et puis j'en fais quoi après ? Je le jette à la poubelle ? Heureusement qu'il n'y a pas de données confidentielles...

Hello les amis, voici ma petite trouvaille du jour, idéale pour ceux qui jouent en ce moment avec des adresses IP : ip66.dev . C'est une base de géolocalisation IP et entièrement libre, livrée au format MMDB (le même que celui de MaxMind) qui...

Flash à sa grande époque c'était quand même tout un truc, mais est-ce que vous vous souvenez de Shockwave ? Le grand frère de Flash (techniquement c'était une autre techno bâtie sur Director mais bref...), qui était capable de faire tourner des...

Japan Airlines va confier la manutention des bagages à des robots humanoïdes sur les pistes de l'aéroport Haneda. Le test démarre en mai 2026, dure deux ans, et implique pour commencer deux machines posées au milieu des bagagistes humains....

Fin de partie pour la riposte graduée. Le Conseil d'État a déclaré illégale, le 30 avril 2026, la phase la plus dure du dispositif anti-piratage Arcom, héritier de la Hadopi. La décision s'applique immédiatement et décapite le système après 17...

Vous vous souvenez de l'époque où on s'écroulait comme des merde dans notre canapé après une grosse journée de boulot et où on regardait juste ce que la télé nous balançait ? Pas de choix à faire sur Netflix, ni de recommandation sur l'Apple TV....

Ouais, je sais, on est le 1er mai, et je suis pas censé bosser mais que voulez-vous on ne se refait pas ^^. Et si j'ai ouvert l'ordi ce matin, c'est pour vous parler de KULA. ! KULA est un binaire tout simple qui permet de monitorer très...

45 ans après sa sortie, le code source du tout premier 86-DOS vient d'atterrir sur GitHub . Microsoft a profité de cet anniversaire pour publier les listings d'assembleur originaux, accompagnés de plusieurs versions de PC-DOS 1.00 et de MS-DOS...

Si vous avez plusieurs Raspberry Pi qui traînent chez vous, vous connaissez la galère du DHCP. Le routeur leur balance des IP différentes au gré des redémarrages, et impossible de savoir laquelle correspond à votre Pi-hole, votre Home Assistant...

Vincent en avait parlé il y a peu : Firefox 149 embarque maintenant discrètement adblock-rust , le moteur Adblock de Brave, désactivé par défaut, sans interface, et contrôlé uniquement par deux prefs obscures dans about:config. Bref, c'est là...

Cet article fait partie de ma série spéciale hackers . Bonne lecture ! Felix "FX" Lindner est mort le 1er mars 2026 à l'âge de seulement 49 ans. Et si ce nom ne vous dit rien, c'est normal, car FX n'a jamais cherché les projecteurs. Par contre,...

Hier soir, je suis tombé sur GameDate et ça m'a carrément fait remonter 20 ans en arrière, à cette époque bénie l'époque où on passait tous nos nuits sur des jeux comme Wolfenstein: Enemy Territory ou Tribes 2 sans que personne ne nous juge...

Depuis qu'Amazon a coupé le téléchargement USB de nos ebooks Kindle (sniiiif), héberger sa propre bibliothèque est passé du status de bricolage du dimanche aprem au geste héroïque de préservation de notre souveraineté ! Alors si vous voulez vous...

-- Article en partenariat avec Proton -- L'actualité de la tech ces derniers mois donne des sueurs froides. Entre les rebondissements autour du CLOUD Act, la section 702 de FISA qui permet aux agences US d'accéder aux données des non-américains...

732 octets, c'est tout ce qu'il faut pour passer de simple utilisateur à root sur n'importe quel Linux non patché compilé depuis 2017, soit la quasi-totalité des kernels. Cette faille béante s'appelle Copy Fail (CVE-2026-31431), elle a été...

199 $ pour passer vos consoles rétro en HDMI 1080p sans bouillie de pixels et sans latence visible ? C'est ce que promet le Morph 2K, le nouveau scaler analogique-numérique de PixelFX. Pré-commandes le 1er juin, livraisons huit à dix semaines...

Starcraft2.ai débarque en force pour les joueurs de StarCraft 2 et de Brood War qui voudraient disséquer leurs replays sans bouger de leur navigateur. Le créateur de ce site, qui se présente sous le pseudo de Tomkit, a sorti un analyseur gratuit...