Space & Security News

Traversal de chemin via le paramètre 'dirname' permettant un accès non autorisé à des fichiers et des répertoires en dehors de la racine.

Injection de commande OS via le paramètre 'ID' permettant l'exécution de commandes arbitraires.

Injection SQL via les paramètres 'type/length/business parameter validity' permettant l'exécution de commandes SQL arbitraires.

Contrôles d'accès incorrects permettant un accès non autorisé à des fonctionnalités ou des données.

Injection de commande via le paramètre 'delflag' permettant l'exécution de commandes arbitraires.

Dépassement de tampon basé sur la pile via le paramètre 'page' permettant l'exécution de code arbitraire.

Absence d'authentification pour une fonction critique permettant le téléchargement de fichiers malveillants et l'exécution de code arbitraire.

Plantage du dissector HTTP permettant un déni de service.

Boucle infinie dans le dissector UDS permettant un déni de service.

Plantage dans sharkd permettant un déni de service.

Plantage dans sharkd permettant un déni de service.

Fuite de mémoire dans sharkd permettant un déni de service.

Injection de directives dhclient.conf arbitraires via le champ de fichier BOOTP permettant l'exécution de code arbitraire.

Dépassement d'entier dans ParseCube permettant un déni de service ou une exécution de code arbitraire.

Plantage du dissector ICMPv6 PvD permettant un déni de service.

Plantage du dissector AFP Spotlight permettant un déni de service.

Dépassement de tampon dans le dissector TLS permettant un déni de service et une exécution de code arbitraire.

Plantage du dissector FC-SWILS permettant un déni de service.

Boucle infinie dans le dissector SMB2 permettant un déni de service.

Plantage du dissector BT-DHT permettant un déni de service.

Plantage du dissector Monero permettant un déni de service.

Plantage du dissector DCP-ETSI permettant un déni de service.

Plantage du codec AMR-NB permettant un déni de service.

Plantage du dissector SDP permettant un déni de service.

Plantage du codec iLBC permettant un déni de service.

Boucle infinie dans le dissector MBIM permettant un déni de service.

Boucle infinie dans le dissector OpenFlow v6 permettant un déni de service.

Boucle infinie dans le dissector OpenFlow v5 permettant un déni de service.

Boucle infinie dans le dissector RPKI-Router permettant un déni de service.

Boucle infinie dans le dissector GNW permettant un déni de service.

Plantage du dissector MySQL permettant un déni de service.

Plantage du dissector RTSP permettant un déni de service.

Plantage du dissector ASN.1 PER permettant un déni de service.

Boucle infinie dans le dissector TLS permettant un déni de service.

Plantage du codec iLBC permettant un déni de service.

Plantage du dissector DCP-ETSI permettant un déni de service.

Boucle infinie dans le dissector SANE permettant un déni de service.

Plantage du dissector Kismet permettant un déni de service.

Plantage du moteur de désassemblage LZ77 permettant un déni de service.

Boucle infinie dans le dissector USB HID permettant un déni de service.

Plantage du moteur de désassemblage zlib permettant un déni de service.

Boucle infinie dans le dissector DLMS/COSEM permettant un déni de service.

Plantage du dissector ZigBee permettant un déni de service.

Plantage du dissector BEEP permettant un déni de service.

Plantage du dissector SMB2 permettant un déni de service.

Plantage du dissector WebSocket permettant un déni de service.

Plantage du dissector GSM RP permettant un déni de service.

Dépassement de tampon permettant à un utilisateur non privilégié d'obtenir des privilèges superutilisateur.

Dépassement de pile permettant à des attaquants distants de provoquer un plantage du système.

Traversal de chemin permettant un accès non autorisé à des fichiers et des répertoires en dehors de la racine.

Écriture en dehors des limites d'une allocation de tas permettant un plantage ou un panique du système, et potentiellement une élévation de privilèges.

Corruption de la pile permettant une élévation de privilèges locaux.

Dépassement de tampon de tas permettant un plantage ou une exécution de code arbitraire.

Lecture en dehors des limites permettant une élévation de privilèges.

Absence de validation de certificat permettant une attaque de l'homme du milieu et la capture des identifiants SMTP.

Déréférencement de pointeur null permettant une manipulation de pointeur.

Contournement de paiement via la jugement de type PHP permettant le marquage de réservations comme payées sans compléter le paiement Stripe.

Lecture de fichiers locaux arbitraires via le serveur web intégré.

Génération d'ID de session de manière non sécurisée permettant à un attaquant de deviner les ID de session.

Exposition d'informations sensibles à un acteur non autorisé.

Contournement d'autorisation via une clé contrôlée par l'utilisateur permettant un abus de privilèges.

Contrôle incorrect de la fréquence d'interaction permettant un flooding.

Contournement de vérification d'achat permettant un accès non autorisé à du contenu protégé par Stripe.

Obtention de privilèges administratifs pour des clusters arbitraires via des informations d'identification d'administration.

Injection de commande via la fonction click.edit() permettant l'exécution de commandes OS arbitraires.

Absence de protection CSRF permettant une falsification de requête intersite.

Déni de service via un flood de requêtes HTTP GET vers des URI inexistantes.

Déni de service via un grand nombre de requêtes HTTP concurrentes vers des points de terminaison inexistants.

Absence de limitation de taux ou de verrouillage de compte permettant des attaques par force brute sur l'interface d'administration.

Désactivation partielle de l'API REST Account permettant l'accès à certaines fonctionnalités sans authentification.

Exécution de code arbitraire via la fonction de composition d'e-mail.

Falsification de requête côté serveur via le point de terminaison /plugins/-/install-from-uri.

Falsification de requête côté serveur via le point de terminaison /themes/-/install-from-uri.

Falsification de requête côté serveur via le point de terminaison /themes/{name}/upgrade-from-uri.

Absence de protection CSRF permettant une falsification de requête intersite.

Cross-Site Scripting (XSS) permettant l'exécution de code arbitraire et l'obtention d'informations sensibles.

Cross-Site Scripting (XSS) permettant l'exécution de code arbitraire.

Contournement d'authentification permettant un accès non autorisé.

Élévation de privilèges via une validation d'entrée incorrecte.

Lecture de fichiers arbitraires via l'interface XML-RPC permettant l'accès à des fichiers sensibles.

Téléchargement de fichiers arbitraires permettant l'exécution de code arbitraire.

Inondation de trames WebSocket non bornée permettant un déni de service.

Injection de commande OS via le paramètre radius_address permettant l'exécution de code arbitraire.

Falsification de requête côté serveur via le point de terminaison /plugins/{name}/upgrade-from-uri.

Traversal de chemin via le paramètre fileMd5 permettant l'écriture de fichiers arbitraires.

Falsification de requête côté serveur via le point de terminaison /ureport/datasource/testConnection.

Traversal de chemin permettant l'écriture de fichiers arbitraires.

Lecture en dehors des limites durante le réassemblage de fragments DTLS malformés permettant une divulgation d'informations ou un déni de service.

Cross-Site Scripting (XSS) stocké via le paramètre msgContent permettant l'exécution de scripts web arbitraires.

Cross-Site Scripting (XSS) stocké via le paramètre content permettant l'exécution de scripts web arbitraires.

Cross-Site Scripting (XSS) authentifié via la classe XssHttpServletRequestWrapper permettant l'exécution de scripts web arbitraires.

Erreur logique dans le traitement des réponses OCSP multi-enregistrements permettant l'acceptation incorrecte d'un certificat révoqué.

Contournement de politique via des comparaisons de labels sensibles à la casse permettant l'acceptation incorrecte d'un certificat.

Création de compte sans validation de jeton d'invitation permettant la création de comptes actifs non autorisés.

Accès non autorisé à des chartes via des routes de récupération et d'exportation publiques.

Modification de règles de partage de tableau de bord entre projets via des routes non autorisées.

Accès non autorisé à des données de chartes via des routes de requête de données publiques.

Accès non autorisé aux données de tableau de bord d'un autre projet via une route de tableau de bord héritée.

Accès non autorisé aux datasets et aux requêtes de données d'autres projets via des routes non autorisées.

Exécution de commandes shell avec des privilèges SYSTEM via un champ utilisateur spécialement conçu dans une définition de tâche ECS.

Cross-Site Scripting (XSS) réfléchi via des payloads STL malveillants permettant l'exécution de JavaScript arbitraire.

Dépassement d'entier dans les fonctions d'analyse TLV OSPF Traffic Engineering et Segment Routing permettant des lectures en dehors des limites de la mémoire.

Falsification de requête côté serveur (SSRF) permettant l'envoi de requêtes non autorisées.

Cross-Site Scripting (XSS) stocké permettant l'exécution de JavaScript arbitraire.

Traversal de répertoires permettant l'écriture de fichiers arbitraires.

Accès non autorisé à des images d'autres utilisateurs via une clé contrôlée par l'utilisateur.

Injection de chaîne de format via un fichier language pack malveillant permettant un déni de service et une divulgation d'informations.

Injection SQL via le paramètre queryString permettant l'exécution de commandes SQL arbitraires.

Cross-Site Scripting (XSS) via le paramètre pageDescription permettant l'exécution de scripts web arbitraires.

Déni de service via une neutralisation incorrecte d'éléments spéciaux dans la logique de requête de données.

Déni de service via une allocation incorrecte de ressources système.

Transfert de données entre pods sans restrictions permettant à un attaquant de transférer des données entre pods sans autorisation.

Stockage d'identifiants utilisateur en texte clair permettant à un utilisateur local de lire les identifiants.

Déni de service via une neutralisation incorrecte d'éléments spéciaux dans la logique de requête de données.

Élévation de privilèges via une vérification d'autorisation incorrecte dans l'interface d'administration web IBM i Web Administration GUI.

Traversal de répertoires permettant la visualisation de fichiers arbitraires.

Plantage de l'instance de connexion via des données DNS malformées dans les enregistrements PTR.

Écriture en dehors des limites du tas via un JSON malformé dans un en-tête non fiable.

Lecture en dehors des limites via des caractères UTF-8 invalides dans des données d'en-tête.

Écriture en dehors des limites via une ressource SPA malveillante permettant un plantage ou une divulgation de données.

Permissions excessives au niveau du cluster permettant l'exfiltration de secrets sensibles et l'élévation de privilèges.

Lecture de journaux de transaction et de données de construction de vertex appartenant à d'autres utilisateurs.

Exécution de commandes arbitraires avec les privilèges du processus exécutant Langflow.

Contournement d'autorisation via la fonction saveLink permettant un accès non autorisé.

Dépassement de tampon via le paramètre wepkey2 permettant l'exécution de code arbitraire.

Autorisation incorrecte via le gestionnaire RPC permettant un accès non autorisé.

Injection SQL via le paramètre room_type permettant l'exécution de commandes SQL arbitraires.

Injection de code via le paramètre body permettant l'exécution de code arbitraire.

Contournement d'autorisation via une fonctionnalité non spécifiée permettant un accès non autorisé.

Envoi de trafic d'application vers des destinations réseau externes via des services de route non autorisés.

Plantage du dissector SBC codec permettant un déni de service et une exécution de code arbitraire.

Plantage de l'analyseur de fichiers K12 RF5 permettant un déni de service.

Plantage du dissector RDP permettant un déni de service et une exécution de code arbitraire.

Traversal de chemin dans l'importation de profil permettant un déni de service et une exécution de code arbitraire.

Dépassement de tampon via la fonction strcpy permettant l'exécution de code arbitraire.

Dépassement de tampon via la fonction strcpy permettant l'exécution de code arbitraire.

Déni de service via le paramètre changeItem.newValue permettant un plantage du système.

Traversal de chemin via le paramètre filename permettant un accès non autorisé à des fichiers et des répertoires en dehors de la racine.

Déni de service via le paramètre ueContextId permettant un plantage du système.

Déni de service via le paramètre ipv4Addr permettant un plantage du système.

Injection de commande OS via le paramètre proto permettant l'exécution de code arbitraire.

Injection SQL via une fonction non spécifiée permettant l'exécution de commandes SQL arbitraires.

Dépassement de tampon basé sur la pile via le paramètre Host permettant l'exécution de code arbitraire.

Injection de commande via le paramètre setUssd permettant l'exécution de code arbitraire.

May's full moon rises as flowers bloom across the northern hemisphere.

The Copernicus Sentinel-1D satellite, launched last November, is now fully operational after successfully completing its critical in-orbit commissioning phase.With all four Sentinel-1 satellites having now been deployed, this achievement marks a...

Image: Captured by the Copernicus Sentinel-2 mission on 21 April 2026, this image shows a double bloom in the Netherlands: an array of vibrant colours in the tulip fields as well as the blue-greenish swirls of phytoplankton in the North Sea.

Earth Observatory Science Earth Observatory Cyclone Rains Spur Papua New… Earth Earth Observatory Image of the Day EO Explorer Topics All Topics Atmosphere Land Heat & Radiation Life on Earth Human Dimensions Natural Events Oceans Remote Sensing...

Russia launched its Soyuz 5 medium-lift rocket for the first time ever on Thursday (April 30), and things apparently went well.

Artemis 3 slips to late 2027 as Starship and Blue Moon lag, delaying NASA’s lunar return timeline and jeopardizing a 2028 moon landing.

Credit: NASA Ireland will sign the Artemis Accords during a ceremony at 3 p.m. EDT Monday, May 4, at NASA Headquarters in Washington. NASA Administrator Jared Isaacman will host Ambassador of Ireland to the United States of America Geraldine...

The United States Space Force has created a new program to develop space-based missile interceptors, with the goal of being able to demonstrate their capability by 2028.

Evidence suggests that Venus is still volcanically active, and new data about a big eruption in Hawaii a few years ago could help scientists find out for sure.

1 Min Read Odyssey Team Celebrates on a Global Map of Mars PIA26722 Credits: NASA/JPL-Caltech Photojournal Navigation Science Photojournal Odyssey Team Celebrates on a… Photojournal Home Photojournal Search Latest Content Galleries Feedback RSS...

Skywatching Skywatching Home What’s Up Meteor Showers Eclipses Daily Moon Guide More Tips & Guides Skywatching FAQ Night Sky Network Shooting stars before dawn, a brilliant meetup between the Moon and Venus and a rare blue moon to end the month...

'When we started visualizing this world, we wanted to do right by the fans'

NASA/Glenn Benson Teams move the core stage, or largest section, of the SLS (Space Launch System) rocket for NASA’s Artemis III mission into the Vehicle Assembly Building at the agency’s Kennedy Space Center in Florida in this photo from April...

Credit: NASA The Kingdom of Morocco signed the Artemis Accords on April 29th during a ceremony in the country’s capital, Rabat, becoming the latest nation to commit to the responsible exploration of space. “It is my privilege to welcome the...

4 Min Read NASA Goddard’s Greenbelt Visitor Center Marks 50th Anniversary This 1976 photograph shows how the visitor center at NASA’s Goddard Space Flight Center in Greenbelt, Md., appeared when it opened to the public for the first time....

Wispy nebula clouds can be seen reflecting the blue-white light of the Pleiades in the stunning amateur photo.

3 min readPreparations for Next Moonwalk Simulations Underway (and Underwater) Partners from NASA, Texas public safety organizations, commercial drone operators, and the Federal Aviation Administration gathered in the region of North Texas Feb....

SpaceX's Falcon Heavy rocket flew for the first time in 18 months Wednesday (April 29), and a sharp-eyed satellite was watching.

Artemis 2's Orion capsule has returned to its Florida launch site, just three weeks after carrying four astronauts on a historic journey around the moon's far side.

Video: 00:03:10 What did space deliver for Europe this month? From the Moon to low Earth orbit and beyond, here’s what the European Space Agency has been up to.

Fin de partie pour la riposte graduée. Le Conseil d'État a déclaré illégale, le 30 avril 2026, la phase la plus dure du dispositif anti-piratage Arcom, héritier de la Hadopi. La décision s'applique immédiatement et décapite le système après 17...

Vous vous souvenez de l'époque où on s'écroulait comme des merde dans notre canapé après une grosse journée de boulot et où on regardait juste ce que la télé nous balançait ? Pas de choix à faire sur Netflix, ni de recommandation sur l'Apple TV....

Ouais, je sais, on est le 1er mai, et je suis pas censé bosser mais que voulez-vous on ne se refait pas ^^. Et si j'ai ouvert l'ordi ce matin, c'est pour vous parler de KULA. ! KULA est un binaire tout simple qui permet de monitorer très...

45 ans après sa sortie, le code source du tout premier 86-DOS vient d'atterrir sur GitHub . Microsoft a profité de cet anniversaire pour publier les listings d'assembleur originaux, accompagnés de plusieurs versions de PC-DOS 1.00 et de MS-DOS...

Si vous avez plusieurs Raspberry Pi qui traînent chez vous, vous connaissez la galère du DHCP. Le routeur leur balance des IP différentes au gré des redémarrages, et impossible de savoir laquelle correspond à votre Pi-hole, votre Home Assistant...

Vincent en avait parlé il y a peu : Firefox 149 embarque maintenant discrètement adblock-rust , le moteur Adblock de Brave, désactivé par défaut, sans interface, et contrôlé uniquement par deux prefs obscures dans about:config. Bref, c'est là...

Cet article fait partie de ma série spéciale hackers . Bonne lecture ! Felix "FX" Lindner est mort le 1er mars 2026 à l'âge de seulement 49 ans. Et si ce nom ne vous dit rien, c'est normal, car FX n'a jamais cherché les projecteurs. Par contre,...

Hier soir, je suis tombé sur GameDate et ça m'a carrément fait remonter 20 ans en arrière, à cette époque bénie l'époque où on passait tous nos nuits sur des jeux comme Wolfenstein: Enemy Territory ou Tribes 2 sans que personne ne nous juge...

Depuis qu'Amazon a coupé le téléchargement USB de nos ebooks Kindle (sniiiif), héberger sa propre bibliothèque est passé du status de bricolage du dimanche aprem au geste héroïque de préservation de notre souveraineté ! Alors si vous voulez vous...

-- Article en partenariat avec Proton -- L'actualité de la tech ces derniers mois donne des sueurs froides. Entre les rebondissements autour du CLOUD Act, la section 702 de FISA qui permet aux agences US d'accéder aux données des non-américains...

732 octets, c'est tout ce qu'il faut pour passer de simple utilisateur à root sur n'importe quel Linux non patché compilé depuis 2017, soit la quasi-totalité des kernels. Cette faille béante s'appelle Copy Fail (CVE-2026-31431), elle a été...

199 $ pour passer vos consoles rétro en HDMI 1080p sans bouillie de pixels et sans latence visible ? C'est ce que promet le Morph 2K, le nouveau scaler analogique-numérique de PixelFX. Pré-commandes le 1er juin, livraisons huit à dix semaines...

Starcraft2.ai débarque en force pour les joueurs de StarCraft 2 et de Brood War qui voudraient disséquer leurs replays sans bouger de leur navigateur. Le créateur de ce site, qui se présente sous le pseudo de Tomkit, a sorti un analyseur gratuit...

Le BME280 et le DHT22, deux capteurs ultra-populaires en domotique, ont une faiblesse cachée dans leur spécifications : ils ne supportent pas la condensation. Les gens de Mellow Labs ont creusé la question sur Hackaday après avoir flingué...

Monter un serveur HTTPS local pour bosser sur du Next.js ou du Vite, ça reste étrangement chiant. Faut mkcert pour générer les certifs, faut éditer le /etc/hosts à la mimine, installer caddy ou nginx en reverse proxy par-dessus... bref, vous...

Datadog Labs vient de sortir pup , un outil CLI codé en Rust qui donne à vos agents IA un accès complet à leur plateforme. L'idée c'est que pendant que Vercel et AWS galèrent de ouf à rendre leurs trucs « agent-friendly », Datadog, lui, dégaine...

- Contient des liens affiliés Amazon - Alors dans le titre j'ai écrit chat, mais c'est une chatte, juste je voulais pas vous faire rigoler dès le début, je vous connais. Ma chatte donc… Je la sors depuis plusieurs mois et je la laisse se balader...

Pour qui n'utilise pas encore de VPN (on sait jamais, il y a aussi des néophytes qui nous lisent parfois !), c'est un service qui fait passer votre trafic Internet par un serveur intermédiaire situé dans un autre pays. Résultat, les sites web...

Coup dur pour DNS4EU. Le résolveur DNS public co-financé par la Commission européenne, présenté il y a moins d'un an comme l'alternative souveraine à Google et Cloudflare, doit désormais bloquer une trentaine de domaines de streaming pirate, sur...

Xiaomi a publié hier MiMo-V2.5 et MiMo-V2.5-Pro, deux modèles d'IA qu'il met directement en open source sous licence MIT. Le plus gros, le Pro, fait 1 020 milliards de paramètres dont 42 milliards activés en simultané, avec une fenêtre de...