Space & Security News

Cette vulnérabilité d'injection de code permet à un attaquant d'inclure du code distant, menant à une exécution de code arbitraire. L'impact est une compromission totale du site WordPress.

Cette vulnérabilité de téléchargement sans restriction permet à un attaquant d'uploader une web shell sur le serveur. L'impact est critique car elle offre un contrôle total du serveur web. Les utilisateurs doivent désactiver le plugin ou...

Cette vulnérabilité d'injection SQL permet à un attaquant non authentifié d'exécuter des requêtes SQL arbitraires. L'impact est une extraction complète de la base de données et une possible compromission du site.

Cette vulnérabilité d'injection SQL permet à un attaquant d'effectuer des injections SQL aveugles. L'impact est une extraction de données sensibles de la base de données sans nécessité d'authentification.

Cette vulnérabilité d'injection SQL permet à un attaquant non authentifié d'exécuter des requêtes SQL arbitraires. L'impact est une extraction complète de la base de données et une possible compromission du site.

Vulnérabilité de validation JWT dans Perry avant la version 0.5.1166, où validate_exp est systématiquement défini sur false dans le helper verify_decode. Les attaquants en possession d'un jeton précédemment émis peuvent présenter des jetons...

Validation d'entrée incorrecte dans la fonction SSH Elevate Shell, permettant à un utilisateur authentifié d'exécuter des commandes arbitraires sur un hôte SSH distant. Cela peut mener à une compromission totale du système cible via des privilèges élevés.

Dépassement de tampon basé sur la pile dans le programme CGI, permettant à un attaquant non authentifié sur le réseau local d'exécuter des commandes système. Cela peut mener à une compromission totale de l'appareil.

Absence d'autorisation dans la fonction generatePluginHandler, permettant à un attaquant authentifié d'injecter du code PHP arbitraire dans des fichiers générés. Cela peut mener à une exécution de code à distance et à une compromission totale du site.

Injection SQL dans les paramètres stypes et slocations via l'action AJAX wppro_get_overall_chart_data, permettant à un attaquant authentifié d'extraire des informations sensibles de la base de données. La vulnérabilité est facilitée par le retour...

Cette vulnérabilité d'injection SQL permet à un attaquant authentifié avec un accès abonné d'extraire des informations sensibles de la base de données via le paramètre 'curselrevs[]'. L'impact est une fuite de données critiques et une possible...

Cette injection de commande exploite une mauvaise neutralisation des caractères spéciaux dans le paramètre name. Un attaquant distant avec faibles privilèges peut exécuter des commandes arbitraires, compromettant totalement le système. La...

Cette vulnérabilité d'élévation de privilèges dans le composant Graphics: WebRender peut être exploitée pour exécuter du code arbitraire. Elle affecte plusieurs versions de Firefox et Thunderbird. La mise à jour vers les versions corrigées est impérative.

Vulnérabilité d'exécution de code à distance dans le plugin de passerelle de Dell OpenManage Integration with Microsoft Windows Admin Center. Un utilisateur distant authentifié peut escalader ses privilèges et exécuter du code arbitraire à...

Passage de chaînes non nettoyées provenant de réponses DHCP dans le client DHCP wicked avant la version 0.6.79. Des attaquants opérant un serveur DHCP malveillant peuvent exécuter du code sur la machine locale en exploitant cette vulnérabilité....

Un contournement d'autorisation permet à une session d'appareil appairée de retrouver l'autorité du jeton de nœud après révocation. Un attaquant avec un appareil appairé peut regagner un accès WebSocket sans nouvelle approbation. Cela affaiblit...

Un attaquant avec un accès réseau entre la virtualisation SUSE et Rancher Manager dans SUSE Harvester avant 1.8.0 peut interférer avec la poignée de main TLS et contourner la sécurité TLS. Cela permet de compromettre la confidentialité et...

Dépassement d'entier dans le processus de décompression des messages distants de Pacemaker, exploitable par un attaquant distant non authentifié. En envoyant un message compressé spécialement conçu avant l'authentification, l'attaquant peut...

Les versions 2.9.0 à 6.0.0 de Yeoman Environment installent des packages générateurs locaux à partir de noms de packages fournis par l'appelant sans confirmation de l'utilisateur. Dans les consommateurs en aval qui passent une configuration de...

Cette vulnérabilité d'injection SQL permet à un attaquant authentifié avec un accès abonné d'exécuter des requêtes SQL arbitraires. L'impact est une extraction de données sensibles et une possible escalade de privilèges.

Un contournement de validation de motif d'argument dans la liste blanche d'exécution permet d'exécuter des arguments non autorisés pour des exécutables autorisés. Les attaquants peuvent contourner les restrictions argPattern en invoquant...

Une adresse e-mail malveillante peut contourner les restrictions de liste blanche ou noire de domaine dans Forem avant le commit a2ab6d4. Cela permet à un attaquant d'accéder à des déploiements Forem sur invitation uniquement. La correction est...

Cette faille de suppression arbitraire de fichiers exploite des contrôles d'accès manquants et une validation insuffisante des chemins. Un attaquant authentifié peut supprimer des fichiers critiques, potentiellement en vue d'une exécution de...

Bugs de sécurité mémoire critiques dans Firefox ESR 115.36 et 140.11, corrigés dans les versions 152, 140.12 et 115.37. Ces vulnérabilités pourraient être exploitées pour exécuter du code arbitraire, représentant un risque élevé.

Une escalade de privilèges dans la fonction allowFrom valide les identités Discord via des noms d'affichage modifiables au lieu d'identifiants immuables. Un attaquant peut changer son nom pour correspondre à une politique et obtenir un accès...

Cette vulnérabilité de contournement d'évaluation en ligne permet aux opérateurs authentifiés d'affaiblir les vérifications de liste blanche via des paramètres positionnels shell. Les attaquants peuvent combiner des outils autorisés avec des...

Cette vulnérabilité de politique de sécurité permet aux contacts Zalo avec des métadonnées d'affichage modifiables de correspondre aux entrées de politique allowFrom via des changements de nom d'affichage. Les attaquants peuvent recevoir des...

Cette vulnérabilité de désinfection insuffisante dans le sanitizer d'environnement hôte permet aux variables de contrôle Node.js de contourner la validation. Les attaquants avec accès aux fichiers .env, aux remplacements d'environnement d'outil...

Cette vulnérabilité de contournement de liste blanche dans l'analyse de commande en ligne shell permet aux opérateurs authentifiés d'exécuter des commandes non approuvées. Une requête de commande utilisant des formes de commande en ligne shell...

Vulnérabilité d'injection de code dans NVIDIA NeMo Framework pour toutes les plateformes. Une exploitation réussie peut conduire à l'exécution de code, l'escalade de privilèges, la divulgation d'informations et la falsification de données. La...

Vulnérabilité de désérialisation de données non fiables dans NVIDIA NeMo Framework pour Linux. Un attaquant peut exploiter cette faille pour exécuter du code, escalader ses privilèges, falsifier des données et divulguer des informations. La...

Dépassement de tampon sur le tas dans l'analyse SHORT_BINUNICODE des fichiers de points de contrôle PyTorch dans stable-diffusion.cpp avant master-584-0a7ae07. Un fichier .ckpt malveillant peut déclencher memcpy avec une longueur très grande...

Un débordement de tampon basé sur le tas dans le SDK DNG peut permettre l'exécution de code arbitraire dans le contexte de l'utilisateur courant. L'exploitation nécessite l'ouverture d'un fichier malveillant par la victime. Cette vulnérabilité...

Une élévation de privilèges dans le moteur de protection contre les logiciels malveillants de Microsoft Defender, nommée RoguePlanet, est en cours de correction. Microsoft travaille sur un correctif de sécurité. Les détails seront fournis ultérieurement.

Contournement de la protection SSRF dans Sync-in Server avant la version 2.3.0, car l'expression régulière de blocage des adresses IP privées ne correspond pas aux adresses IPv4 mappées en IPv6. Un attaquant peut contourner la protection sur les...

Cette vulnérabilité d'injection SQL permet à un attaquant authentifié avec un accès abonné d'exécuter des requêtes SQL arbitraires. L'impact est une extraction de données sensibles et une possible escalade de privilèges.

Cette vulnérabilité de contrôle d'accès cassé permet à un attaquant non authentifié de contourner les restrictions d'accès. L'impact est une modification non autorisée des données ou des fonctionnalités du plugin.

Cette vulnérabilité de contrôle d'accès cassé permet à un attaquant non authentifié de contourner les restrictions d'accès. L'impact est une modification non autorisée des données ou des fonctionnalités du plugin.

Cette vulnérabilité de contrôle d'accès cassé permet à un attaquant non authentifié de contourner les restrictions d'accès. L'impact est une modification non autorisée des données ou des fonctionnalités du plugin.

Cette vulnérabilité d'élévation de privilèges permet à un attaquant authentifié avec un rôle Agent de devenir Administrateur. Elle combine trois failles distinctes pour contourner les contrôles d'accès. Les sites utilisant ce plugin doivent...

Ce bug de sécurité mémoire dans Thunderbird peut entraîner une exécution de code arbitraire. Il affecte plusieurs versions de Firefox et Thunderbird. La mise à jour vers les versions corrigées est urgente.

Ce bug de sécurité mémoire dans Thunderbird peut entraîner une exécution de code arbitraire. Il affecte plusieurs versions de Firefox et Thunderbird. La mise à jour vers les versions corrigées est urgente.

Vulnérabilité de sécurité mémoire dans Thunderbird et Firefox, corrigée dans les versions 152. Un attaquant pourrait potentiellement exploiter ce bug pour corrompre la mémoire et exécuter du code arbitraire, compromettant la confidentialité et...

Injection de commande dans la fonction do_git_checkout() de l'API d'import de rôles legacy (v1) de galaxy_ng. Un utilisateur authentifié contrôlant un dépôt git peut créer une branche ou un tag avec des métacaractères shell pour exécuter du code...

Le script update_disk_psu_baseline.sh nécessite un mot de passe en texte clair, exposant les informations d'identification à un risque de divulgation. Un attaquant ayant accès au système peut lire le mot de passe et compromettre la sécurité. La...

Conditions limites incorrectes dans le composant Libraries de NSS, affectant Firefox et Thunderbird. Cette vulnérabilité pourrait permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire via des entrées malveillantes.

Conditions limites incorrectes dans le composant Graphics CanvasWebGL de Firefox et Thunderbird. Cette vulnérabilité pourrait permettre à un attaquant de corrompre la mémoire et d'exécuter du code arbitraire via des entrées graphiques malveillantes.

Bugs de sécurité mémoire dans Firefox et Thunderbird 151, corrigés dans la version 152. Ces vulnérabilités pourraient être exploitées pour exécuter du code arbitraire, compromettant gravement la sécurité du système.

Bugs de sécurité mémoire dans Firefox ESR 140.11 et Thunderbird ESR 140.11, corrigés dans les versions 152 et 140.12. Ces vulnérabilités pourraient permettre l'exécution de code arbitraire via une corruption mémoire.

Cette vulnérabilité de Cross-Site Scripting permet à un attaquant non authentifié d'injecter des scripts web malveillants. L'impact est l'exécution de code JavaScript dans le navigateur des utilisateurs, pouvant mener à un vol de session.

Cette vulnérabilité de Cross-Site Scripting permet à un attaquant non authentifié d'injecter des scripts web malveillants. L'impact est l'exécution de code JavaScript dans le navigateur des utilisateurs, pouvant mener à un vol de session.

Cette vulnérabilité de type XSS non authentifié permet à un attaquant d'injecter du code malveillant dans le plugin Media Library Assistant. L'impact principal est le vol de données sensibles ou la redirection d'utilisateurs vers des sites...

Une vulnérabilité de divulgation d'informations dans les serveurs MCP streamable-http transmet les en-têtes personnalisés lors de redirections cross-origin. Un attaquant contrôlant un point de terminaison MCP peut exfiltrer des clés API ou des...

Une injection de variable d'environnement via les fichiers .env permet de manipuler la variable CLOUDSDK_PYTHON lors de l'exécution de gcloud. Un attaquant avec accès au dépôt peut exécuter du code via des chemins Python locaux non prévus. Cela...

Un chemin de traversée dans l'assistant d'installation permet aux fichiers .env de remplacer la configuration npm_execpath. Un attaquant avec accès à l'espace de travail peut exécuter des exécutables de gestionnaire de paquets non prévus. Cela...

Cette vulnérabilité d'injection de variable d'environnement permet à STATE_DIRECTORY dans .env d'influencer les racines de dépendances d'exécution. Les attaquants peuvent manipuler cette variable pour charger des dépendances depuis des chemins...

Cette vulnérabilité de validation d'entrée dans les appelants de politique de groupe d'outils accepte des identifiants de groupe non validés. Les attaquants peuvent fournir un identifiant de groupe au résolveur de politique pour déclencher des...

Cette vulnérabilité de traversée de chemin dans l'exécution de tâches de maintenance permet aux chemins de service dérivés de l'espace de travail d'influencer la sélection de commande trash. Les attaquants peuvent exécuter des exécutables locaux...

Le conteneur api-gateway s'exécute avec des privilèges root, permettant à un attaquant de s'échapper du conteneur et d'accéder au système hôte pour effectuer des actions non intentionnelles. Cela compromet l'isolation du conteneur et expose...

Utilisation d'algorithmes cryptographiques SSH faibles, rendant les sessions vulnérables au déchiffrement par force brute. Un attaquant peut compromettre la confidentialité des données et potentiellement prendre le contrôle de la session.

Le sérialiseur JsonPlusSerializer peut reconstruire des objets Python non prévus à partir de points de contrôle modifiés, menant à une exécution de code. L'exploitation nécessite un accès non autorisé au stockage des points de contrôle. Ce...

Vulnérabilité de chemin de recherche non contrôlé dans Dell Peripheral Manager avant la version 1.7.3. Un attaquant pourrait exploiter ce défaut en préchargeant une DLL malveillante, conduisant à une exécution de code arbitraire.

Vulnérabilité de chemin de recherche non contrôlé dans Dell Peripheral Manager versions 1.5.1 à 1.7.2. Un attaquant peut exploiter cette faille en préchargeant un exécutable malveillant, conduisant à une exécution de code arbitraire. La mise à...

Vulnérabilité use-after-free dans la fonction gnutls_pkcs11_token_set_pin lors du changement du PIN avec un ancien PIN NULL. Cela peut permettre à un attaquant d'exécuter du code arbitraire ou de provoquer un déni de service.

Cette vulnérabilité de contournement de liste blanche dans la fonction Swift exec de macOS manque les indicateurs de commande en ligne POSIX combinés. Les attaquants peuvent exécuter du contenu shell en dehors de la vérification de liste blanche...

Validation incorrecte des clés hôtes SSH, permettant à un attaquant de se faire passer pour un serveur légitime et d'intercepter les communications. Cela compromet la confidentialité et l'intégrité des données échangées entre l'outil et l'appareil photo.

Validation incorrecte des certificats serveur, exposant l'utilisateur à des attaques de type homme du milieu. Un attaquant peut usurper l'identité du serveur et accéder aux informations sensibles transmises.

Configuration FTP par défaut non sécurisée, permettant l'interception des identifiants et des fichiers transférés en clair. Cela expose les données sensibles à des attaques passives sur le réseau.

Absence de vérification des capacités dans le point de terminaison AJAX get_submission_content, permettant à un attaquant authentifié de visualiser les soumissions de formulaires d'autres utilisateurs. Cela expose des données sensibles collectées...

Cette vulnérabilité permet à un attaquant non authentifié de forcer des commandes en attente vers un statut 'échec' via une énumération d'ID de commande. L'impact est une modification non autorisée des statuts de commande sans vérification de propriété.

Cette vulnérabilité de contrôle d'accès manquant permet à un attaquant d'exploiter des configurations de sécurité incorrectes. L'impact est un accès non autorisé à des fonctionnalités ou données protégées.

Cette vulnérabilité de contrôle d'accès cassé permet à un attaquant non authentifié de contourner les restrictions d'accès. L'impact est une modification non autorisée des données ou des fonctionnalités du plugin.

Cette vulnérabilité d'exposition de données sensibles permet à un attaquant non authentifié d'accéder à des informations confidentielles. L'impact est une fuite de données critiques sans nécessité d'authentification.

Cette vulnérabilité de contournement de mitigation dans le composant DOM: Security peut permettre à un attaquant de contourner les protections de sécurité. Elle affecte plusieurs versions de Firefox et Thunderbird. La mise à jour vers les...

Ce bug de sécurité mémoire dans Thunderbird peut entraîner une exécution de code arbitraire. Il affecte plusieurs versions de Firefox et Thunderbird. La mise à jour vers les versions corrigées est nécessaire.

Vulnérabilité de déni de service dans le composant Audio/Vidéo de Firefox et Thunderbird. Un attaquant pourrait exploiter ce défaut pour planter l'application ou la rendre indisponible, sans nécessiter d'authentification.

Déni de service dans le composant Graphics ImageLib de Firefox et Thunderbird. Un attaquant pourrait provoquer un crash de l'application en exploitant des images malveillantes, rendant le service indisponible.

Vulnérabilité de correspondance partielle de domaine dans Firefox pour iOS, permettant à un site malveillant de recevoir des cookies d'un site cible. Cela pourrait compromettre la confidentialité des sessions utilisateur.

Un contournement de vérification de visibilité de session dans la recherche de mémoire partagée permet à des appelants authentifiés d'accéder à des entrées mémoire sans autorisation. Les attaquants peuvent ignorer les gardes de visibilité pour...

Cette vulnérabilité d'élévation de privilèges dans l'authentification des commandes internes et webchat permet aux expéditeurs d'hériter de l'état ownerAllowFrom au-delà des limites de canal. Les attaquants peuvent contourner les contrôles...

Cette vulnérabilité de validation de nom d'hôte permet aux attaquants de contourner les comparaisons de liste noire en utilisant la notation point de fin dans les URL. Les attaquants peuvent atteindre des destinations que les opérateurs voulaient...

Cette vulnérabilité de type Cross-Site Scripting stocké permet à un attaquant authentifié avec un accès abonné d'injecter des scripts web arbitraires via le paramètre 'fldr_ttl'. L'impact est l'exécution de scripts malveillants dans le navigateur...

Élévation de privilèges locale due à une validation de format non sécurisée, permettant à un utilisateur authentifié d'exécuter des commandes arbitraires avec les privilèges superutilisateur. Cela compromet la sécurité du système d'exploitation réseau.

Vulnérabilité de pointeur pendant dans la gestion des domaines mémoire sur les cibles Xtensa, pouvant causer un déni de service ou une corruption de la mémoire des tables de pages. Cela peut compromettre l'isolation des espaces utilisateur et...

Cette vulnérabilité d'élévation de privilèges locaux permet à un utilisateur authentifié d'exécuter des commandes arbitraires avec les droits de superutilisateur. L'impact est une compromission totale du système d'exploitation réseau.

Utilisation de clés cryptographiques codées en dur, permettant à un attaquant de déchiffrer les communications ou de contourner l'authentification. Cela affaiblit considérablement la sécurité des échanges réseau.

Une vulnérabilité de cross-site scripting dans les sessions HTML exportées conserve des liens javascript: et data: dangereux. Un attaquant peut exécuter des scripts côté navigateur si un opérateur ouvre le fichier exporté et active un lien...

Cette vulnérabilité de contrôle d'accès cassé permet à un attaquant non authentifié de contourner les restrictions d'accès. L'impact est une modification non autorisée des données ou des fonctionnalités du plugin.

Vulnérabilité use-after-free dans le composant MLD de Zephyr, affectant les versions v4.2.0 à v4.4.0. Un attaquant distant non authentifié pourrait déclencher un déni de service ou une corruption mémoire via des requêtes MLD.

Vulnérabilité use-after-free dans le composant ICMPv6 de Zephyr, affectant les versions v4.2.0 à v4.4.0. Un attaquant distant non authentifié pourrait exploiter ce défaut via des requêtes ICMPv6 pour provoquer un déni de service ou une corruption mémoire.

Dépassement de tampon dans le tas lors du traitement de fichiers MP3 avec des tags ID3v2.4 malveillants, pouvant causer un déni de service ou une divulgation d'informations. Un attaquant distant peut exploiter cette vulnérabilité via un fichier...

Dépassement de tampon dans le composant tracker-extract-mp3 lors du traitement de fichiers MP3 malveillants, entraînant un crash de l'application. Cela peut également exposer des informations sensibles de la mémoire système.

Dépassement de tampon dans le tas lors du traitement de tags ID3v2.3 COMM malformés, permettant un déni de service ou une divulgation d'informations. Un attaquant peut exploiter cette faille en fournissant un fichier MP3 malveillant.

Dépassement de tampon dans le tas dû à un calcul de longueur incorrect lors de l'analyse des tags de performer, pouvant causer un crash ou une divulgation d'informations. Un attaquant distant peut exploiter cette vulnérabilité via un fichier MP3...

Validation incorrecte de l'hôte dans la fonction de remplissage automatique des connexions sociales, permettant à un attaquant de divulguer des identifiants stockés via une entrée web malveillante. Cela expose les informations d'authentification...

Lecture hors limites dans l'analyse des opcodes pickle des points de contrôle PyTorch dans stable-diffusion.cpp avant master-584-0a7ae07. Un fichier .ckpt tronqué ou malveillant peut provoquer des lectures au-delà de la mémoire tampon, entraînant...

Lecture hors limites dans DNG SDK versions 1.7.1 2536 et antérieures, pouvant conduire à la divulgation de mémoire sensible. Un attaquant peut exploiter cette vulnérabilité pour divulguer des informations, mais nécessite l'interaction de...

Cette vulnérabilité de lecture hors limites dans le SDK DNG permet à un attaquant de divulguer des informations mémoire sensibles. L'exploitation nécessite l'interaction de l'utilisateur via l'ouverture d'un fichier malveillant. L'impact...

Similaire à CVE-2026-47934, cette vulnérabilité de lecture hors limites expose des données mémoire sensibles. L'attaquant doit convaincre la victime d'ouvrir un fichier malveillant. La divulgation d'informations est le risque principal.

Une lecture hors limites dans la fonction xpmNextWord() de libXpm peut être exploitée via un fichier XPM spécialement conçu. Un utilisateur local peut provoquer un crash de l'application et un déni de service. La vulnérabilité est due à une...

Un contournement de l'application de la portée de contrôle dans la commande focus permet aux appelants authentifiés d'exécuter la commande sans vérification d'autorisation. Les attaquants peuvent changer l'état de focus en dehors de leur...

Cette vulnérabilité de permissions de fichiers dans la récupération de configuration restaure OpenClaw.json avec des permissions trop larges. Les attaquants locaux sur des hôtes partagés peuvent lire des données de configuration sensibles en...

Ce bug de sécurité mémoire dans Thunderbird peut entraîner une exécution de code ou un déni de service. Bien que de sévérité modérée, il nécessite une mise à jour vers Thunderbird 152. Les utilisateurs doivent appliquer le correctif rapidement.

Cette erreur de compilation JIT dans le composant DOM: Core & HTML peut causer des comportements inattendus. Elle affecte plusieurs versions de Firefox et Thunderbird. La mise à jour vers les versions corrigées est recommandée.

Erreur de compilation JIT dans le composant JavaScript/WebAssembly de Firefox et Thunderbird. Un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code malveillant ou contourner les mécanismes de sécurité du navigateur.

Problème de clickjacking dans le composant Widget Gtk de Firefox et Thunderbird. Un attaquant pourrait tromper l'utilisateur en superposant des éléments d'interface, permettant des actions non autorisées.

Vulnérabilité de spoofing dans le composant DOM Core & HTML de Firefox et Thunderbird. Un attaquant pourrait usurper l'identité d'un site légitime pour tromper l'utilisateur et voler des informations sensibles.

Conditions limites incorrectes dans le composant Internationalization de Firefox et Thunderbird. Un attaquant pourrait exploiter ce défaut pour provoquer un comportement inattendu ou une divulgation d'informations.

Vulnérabilité de Cross-Site Scripting stocké dans PowerStore Manager. Un acteur malveillant distant authentifié avec de faibles privilèges peut exploiter cette faille pour exécuter des scripts dans le navigateur du client. La correction est...

Une escalade de privilèges dans la portée d'écriture Active Memory permet aux opérateurs avec accès operator.write de modifier la configuration globale sans privilèges admin. Les attaquants peuvent appliquer des modifications non autorisées en...

Un contournement de confinement de portée dans le ré-appairage d'appareil permet aux opérateurs de restaurer des portées plus larges que prévu. Les attaquants peuvent envoyer des requêtes de ré-appairage avec des ensembles de portée vides pour...

Contournement d'autorisation permettant à un attaquant non authentifié d'obtenir la clé API Zoom et un JWT signé. Cela permet de rejoindre n'importe quelle réunion Zoom associée sans invitation légitime.

Cette vulnérabilité permet à un attaquant non authentifié de supprimer arbitrairement des articles, pages ou tout contenu WordPress via une requête AJAX, en raison d'un manque de vérification des capacités et de nonce. L'impact est une perte de...

Ce bug de sécurité mémoire dans Thunderbird peut être exploité pour un déni de service ou une exécution de code. Il est corrigé dans Firefox 152 et Thunderbird 152. Les utilisateurs doivent mettre à jour leurs logiciels.

Ce bug de sécurité mémoire dans Thunderbird présente un risque modéré d'exécution de code. Il est corrigé dans Firefox 152 et Thunderbird 152. La mise à jour est conseillée pour éviter toute exploitation.

Ce bug de sécurité mémoire dans Thunderbird présente un risque modéré d'exécution de code. Il est corrigé dans Firefox 152, Firefox ESR 140.12, Thunderbird 152 et Thunderbird 140.12. La mise à jour est recommandée.

Ce bug de sécurité mémoire dans Thunderbird peut être exploité pour un déni de service ou une exécution de code. Il est corrigé dans plusieurs versions de Firefox et Thunderbird. Les utilisateurs doivent mettre à jour.

Ce bug de sécurité mémoire dans Thunderbird présente un risque modéré d'exécution de code. Il est corrigé dans Firefox 152, Firefox ESR 140.12, Thunderbird 152 et Thunderbird 140.12. La mise à jour est conseillée.

Bug de sécurité mémoire dans Thunderbird ESR 140.12, corrigé dans Firefox ESR 140.12 et Thunderbird 140.12. Cette vulnérabilité pourrait permettre une divulgation d'informations ou un déni de service.

Un contournement de notification permet aux événements de réaction Slack d'entrer dans le pipeline d'agent malgré les notifications désactivées. Les attaquants peuvent déclencher un traitement non autorisé en envoyant des réactions. Cela peut...

Vulnérabilité de type use-after-free dans la pile IPv4 native de Zephyr, lors du traitement des requêtes ICMP Echo. Un attaquant distant non authentifié peut provoquer une lecture de mémoire libérée et potentiellement un crash (DoS) en envoyant...

Cette vulnérabilité de divulgation d'informations et d'évasion de sandbox dans Security: Process Sandboxing peut permettre à un attaquant de s'échapper du bac à sable. Elle est corrigée dans Firefox 152, Firefox ESR 140.12, Thunderbird 152 et...

Cette vulnérabilité de divulgation d'informations et d'évasion de sandbox dans Security: Process Sandboxing peut permettre à un attaquant de s'échapper du bac à sable. Elle est corrigée dans Firefox 152, Firefox ESR 140.12, Thunderbird 152 et...

Référence directe à un objet non sécurisée permettant à un attaquant authentifié de lire le contenu de publications privées ou en brouillon. Cela expose des informations sensibles créées par les administrateurs via un shortcode malveillant.

Cette divulgation d'informations due à des conditions limites incorrectes dans Graphics: WebGPU peut exposer des données sensibles. Bien que de faible sévérité, elle est corrigée dans Firefox 152 et Thunderbird 152. Les utilisateurs doivent...

Divulgation d'informations dans le gestionnaire de mots de passe de Firefox et Thunderbird. Cette vulnérabilité pourrait permettre à un attaquant d'accéder à des données sensibles stockées, compromettant la confidentialité des utilisateurs.

Vulnérabilité de conservation de cookies lors de redirections HTTP dans Firefox pour iOS, permettant à un site malveillant d'injecter des cookies arbitraires. Cela pourrait faciliter des attaques de type cross-site request forgery.

Un contournement de hook dans le chemin de répartition des commandes de compétences permet d'ignorer les vérifications avant appel d'outil. Les attaquants peuvent envoyer des commandes via ce chemin vulnérable pour contourner l'audit et les...

Un contournement de la liste blanche d'exécution permet aux opérateurs authentifiés d'exécuter des effets secondaires en dehors des commandes autorisées. Les attaquants peuvent formuler des requêtes qui contournent la validation en utilisant des...

Use-after-free dans les chemins d'envoi Neighbor Discovery IPv6 de Zephyr, où les statistiques ICMP sont mises à jour après la libération du paquet. Un nœud adjacent non authentifié peut déclencher un déni de service ou une corruption mémoire...

Cette vulnérabilité de contournement de politique d'expéditeur dans BlueBubbles permet aux participants de correspondre aux entrées de liste blanche via des métadonnées de conversation. Les attaquants peuvent influencer les identifiants de...

Cette vulnérabilité de rejeu de jeton bootstrap permet aux appelants avec un jeton en attente de réutiliser des jetons avec des portées plus larges demandées. Les attaquants peuvent rejouer des jetons bootstrap avant approbation pour escalader...

Vulnérabilité use-after-free dans l'implémentation IGMP de Zephyr, affectant les versions v2.6.0 à v4.4.0. Un attaquant distant non authentifié pourrait provoquer un déni de service ou une corruption mémoire via des requêtes IGMP.

NASA will discuss an ambitious mission to boost the orbit of its Swift space telescope during a press conference today (June 17), and you can listen to it live.

Earth Observatory Science Earth Observatory Low Water at San Carlos Reservoir Earth Earth Observatory Image of the Day EO Explorer Topics All Topics Atmosphere Land Heat & Radiation Life on Earth Human Dimensions Natural Events Oceans Remote...

AST SpaceMobile’s BlueBird satellites 8, 9, and 10 are encapsulated inside a SpaceX Falcon 9 rocket payload fairing ahead of launch from Cape Canaveral Space Force Station. Image: AST SpaceMobile / SpaceX AST SpaceMobile is bouncing back from the...

Explore Webb Science James Webb Space Telescope (JWST) NASA’s Webb Catches… Webb News Latest News Latest Images Webb’s Blog Awards X (offsite – login reqd) Instagram (offsite – login reqd) Facebook (offsite- login reqd) Youtube (offsite) Overview...

"We could already see changes in the jet, but never with this level of detail in X-rays."

2 Min Read Astronaut Jessica Meir Assists With Hardware Updates for NASA’s Cold Atom Lab PIA26725 Credits: NASA Photojournal Navigation Science Photojournal Astronaut Jessica Meir Assists… Photojournal Home Photojournal Search Latest Content...

An Ariane 6 heavy-lift rocket will launch a record-breaking load to orbit early on Wednesday morning (June 17), and you can watch the action live.

A rare daytime occultation will see a thin crescent moon pass directly in front of dazzling Venus on June 17.

Explore Webb Science James Webb Space Telescope (JWST) NASA Webb, Hubble Reveal… Webb News Latest News Latest Images Webb’s Blog Awards X (offsite – login reqd) Instagram (offsite – login reqd) Facebook (offsite- login reqd) Youtube (offsite)...

Researchers have confirmed a new class of objects within our Milky Way galaxy: survivors called 'bulge fossil fragments.' Terzan 5 is the prototype of these remnants of our galaxy's early formation. Using the NASA/ESA/CSA James Webb Space...

Researchers have confirmed a new class of objects within our Milky Way galaxy: survivors called 'bulge fossil fragments.' Terzan 5 is the prototype of these remnants of our galaxy's early formation. Using the NASA/ESA/CSA James Webb Space...

Astronaut Jessica Meir inspects optical fibers while installing hardware updates to NASA’s Cold Atom Lab, or CAL, aboard the International Space Station on May 8, 2026. About the size of a minifridge, CAL enables researchers to explore quantum...

Our expert was impressed with the looks and performance of this mirrorless APS-C Nikon. This excellent all-round performer is now at its best price this year

The fireball traveled 300 miles in a matter of seconds before disintegrating in spectacular fashion.

The Transient Artifact and Continuous Learning System (TACLS) leverages data from continuously operating satellite networks coupled with machine learning models to help meteorologists at the National Weather Service forecast flash floods more...

The crescent moon will shine alongside Jupiter, Venus and Mercury as it passes through the Beehive open star cluster on June 17.

Alexandre – stock.adobe.com NASA’s Center of Excellence for Collaborative Innovation (CoECI) assists in the use of crowdsourcing across the federal government. CoECI’s NASA Tournament Lab offers the contract capability to run external...

On 14-15 October, the European Space Agency (ESA) will host the NAVISP Industry Days in Rome, Italy, bringing together the European PNT academic and industrial community to explore the latest opportunities and advancements in Positioning,...

NASA/Jessica Meir The aurora australis arcs over Earth during an active solar event in this photograph taken on June 5, 2026, from the International Space Station as it orbited 271 miles above the Indian Ocean southwest of Perth, Australia....

Elon Musk became the world's first trillionaire shortly after SpaceX debuted on the Nasdaq.

Commodore est de retour les amis ! Et pas avec une énième réédition miniaturisé avec IA du C64. Non, la marque, rachetée l'an dernier par le YouTubeur Peri Fractic devenu maintenant son PDG, sort un téléphone à clapet ! Un vrai de vrai de boomer...

Le FBI possède sa propre ville, sauf que personne n'y habite, et pour cause, elle a été montée de toutes pièces dans un hangar de Huntsville, en Alabama, avec ses maisons meublées, son hôtel, sa station-service, son épicerie, son tribunal, son...

- Contient des liens affiliés Amazon - J'ai posé le Dreo TurboCool 516S sur mon bureau au début de la vague de chaleur, et c'est vite devenu mon arme anti-canicule pour bosser. Ce n'est ni un ventilateur classique, ni un de ces brumisateurs de...

Une équipe issue de l'université de Berkeley vient de publier OpenCAL, une version libre et documentée d'une technique d'impression 3D qui ne ressemble à rien de ce qu'on connaît, et le projet est désormais reproductible chez soi avec des...

Des ingénieurs de l'université du Texas à Austin ont mis au point un vêtement qui tire de l'eau potable directement de l'air ambiant, sans réservoir à remplir ni source à proximité, simplement grâce au tissu dont il est fait. Le travail, mené par...

Une seule petite ligne de code envoyée au mauvais endroit pouvait transformer un Surface Laptop en bloc de métal inutilisable. C'est sur cette faille que Microsoft a discrètement travaillé pendant trois mois, avant qu'elle ne soit rendue publique...

Vous avez aimé le simulateur de vol planqué dans la version web de Google Earth ? Alors GeoFS risque de vous scotcher pour de bon ! GeoFS, c'est un simulateur de vol entièrement gratuit développé par le Français Xavier Tassin, qui tourne...

Vous voulez savoir comment GPT-5.5, Claude ou Grok raisonnent quand on les met sous pression ? Hé bien filez-leur un jeu de stratégie et regardez-les se faire la guerre. C'est tout le principe d' Age of LLM , monté par Rymentz, un lecteur du blog...

Avis aux fans de foot parmi vous qui comptent regarder cette Coupe du Monde 2026, j'ai une bonne et une mauvaise nouvelle à vous annoncer ! Non, je déconne, je n'ai que des mauvaises nouvelles à vous annoncer ! La première, c'est qu'un chercheur...

Le monde des liseuses, c'est un monde impitoyaaaable. Entre les Kobo, les Kindle, les tablettes chinoises ou encore les formats proprio des ebooks et leurs DRM à la con, c'est super difficile de faire le bon choix. Puis ça coûte cher aussi ces...

EarthBound Beginnings Remake est à l'origine un projet entre potes qui traine depuis 19 ans et qui youpi !, vient enfin de voir le jour ! Il s'agit d'un ROM hack mené par un certain Gabbls, qui recrée MOTHER, le tout premier jeu de la série...

Si vous faites tourner un petit serveur gratuit chez Oracle, je vous invite prestement, comme dirait Godefroy, à aller vérifier votre compte. Car oui mes amis, Oracle vient de diviser par deux son offre "Always Free" sur les machines ARM, et ils...

Google a planqué un vrai petit simulateur de vol dans Google Earth, et quasiment personne n'en a parlé encore... C'est tout en bas du menu Tools, une option "Flight simulator" estampillée "Experimental". Vous cliquez dessus, et hop, vous voilà...

Un bricoleu, MarcellF , s'est mis en tête de produire lui-même l'écran fluorescent qui rend les rayons X visibles. Le genre de composant qu'on imagine sorti d'un labo d'imagerie. Sauf qu'il y est parvenu dans son atelier, en mélangeant des sels...

Si vous hébergez vos propres services derrière une IP dynamique, vous connaissez sans doute des outils merveilleux comme DynDNS, NoIP, ou encore Cloudflare DDNS. Sauf que dès que votre homelab mélange du Docker, du Proxmox et un cluster...

Handala, un groupe de hackers liés à l'Iran, vient d'annoncer qu'il aurait pu couper l'eau de 2 millions de Californiens. Le groupe a en effet piraté California Water Service et balancé 5 Go de données pour le prouver.... Mais bon, peu importe ce...

Si vous faites un peu de reverse engineering sous Android, vous savez que les malwares modernes font absolument tout ce qu'ils peuvent pour planquer leurs mauvaises intentions, un peu comme vos parents toxiques... Code obfusqué, chargement...

Si vous êtes sous macOS, vous avez peut-être une petite app en tête, un truc tout bête que vous cherchez depuis des années sur Korben.info ou ailleurs sans jamais le trouver. Par exemple une app pour renommer des dossier de captures par date et...

Je ne sais pas si vous avez déjà joué à Pac-Man parce que c'est quand même un bon vieux jeu de boomer, mais si c'est le cas, vous avez peut-être déjà ressenti un peu de peine pour ces petits fantômes qui se font avaler tout cru par ce déglingot...

CrankGPT vous connaissez ? Elle fait tourner un assistant vocal complet, reconnaissance de la voix comprise, sans prise murale, sans batterie et sans serveur distant, et pour l'alimenter vous tournez une manivelle dont la résistance grimpe quand...