Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.
Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.
CORRECTIFS
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Wekan [1] [2]. Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
CODES D’EXPLOITATION
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour l’un d’entre eux.
Divulgation d’informations via une vulnérabilité au sein de MongoDB et MongoDB Server [3]
Un code d’exploitation tirant parti de la vulnérabilité CVE-2025-14847 affectant MongoDB et MongoDB Server a été publié. Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant distant et non authentifié est alors en mesure d’envoyer des messages spécialement conçus et compressés avec zlib, contenant des champs de longueur non compressés falsifiés. MongoDB, se fiant à la taille déclarée par l’attaquant plutôt qu’à la longueur réelle décompressée, alloue un tampon important et lit la mémoire au-delà du buffer alloué. Le PoC extrait systématiquement des portions de la mémoire du serveur sans jamais s’authentifier. Le CERT-XMCO recommande l’installation des correctifs publiés pour les versions suivantes de MongoDB : 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 4.4.30.
Prise de contrôle du système via une vulnérabilité au sein de Dotclear [4]
Un code d’exploitation tirant parti de la vulnérabilité CVE-2023-53952 affectant Dotclear a été publié. Ce code d’exploitation se présente sous la forme d’un programme écrit en PHP. En exécutant ce programme, un attaquant authentifié à distance pouvait exploiter un fichier .phar contenant du code PHP exécutant des commandes arbitraires sur le serveur. L’acteur malveillant peut ensuite télécharger le fichier .phar malveillant en créant un nouvel article de blog, incluant un lien vers le fichier téléchargé. Lorsque quelqu’un accède à l’URL où le fichier malveillant est téléchargé, le code PHP s’exécute sur le serveur. Aucun correctif de sécurité n’est disponible à l’heure actuelle.
INFORMATIONS
Vulnérabilités exploitées
La faille de sécurité MongoBleed serait activement exploitée à des fins malveillantes (CVE-2025-14847) [5]
Le 28 décembre 2025, les journalistes de Bleeping Computer ont publié un article de presse alertant sur l’exploitation malveillante de la faille de sécurité MongoBleed. Référencée CVE-2025-14847, cette vulnérabilité serait due à une gestion incorrecte de l’incohérence du paramètre de longueur (CWE-130). Désormais corrigée, la faille pouvait être exploitée par un attaquant distant et non authentifié afin d’accéder à des informations sensibles (cf. CXA-2025-7448 et CXA-2025-7526). Malgré la publication des correctifs de sécurité par l’éditeur MongoDB, la vulnérabilité disposerait d’un code d’exploitation publiquement disponible et serait activement détournée par des acteurs malveillants.
Détection d’une faille de sécurité critique affectant le logiciel SmarterMail de SmarterTools (CVE-2025-52691) [6]
Le 29 décembre 2025, l’Agence de cybersécurité de Singapour (CSA) a alerté sur une vulnérabilité critique affectant le logiciel de messagerie SmarterMail de SmarterTools. Référencée CVE-2025-52691, cette faille de sécurité qui disposait d’un score CVSS de 10.0 et qui est désormais corrigée, résultait d’un téléchargement illimité de fichiers dangereux (CWE-434). Un attaquant distant et non authentifié pouvait l’exploiter afin de télécharger des fichiers arbitraires vers n’importe quel emplacement sur le serveur de messagerie, permettant d’opérer une exécution de code à distance.
Exploitation de la CVE-2025-55182 affectant React pour distribuer le botnet RondoDoX [7]
Le 29 décembre 2025, les chercheurs de CloudSEK ont révélé l’exploitation de la vulnérabilité critique référencée CVE-2025-55182 (React2Shell) affectant React. Corrigée le 5 décembre 2025, cette vulnérabilité permettait à un attaquant distant et non authentifié d’exécuter du code arbitraire (cf. CXN-2025-7105). Cette campagne ciblant les objets connectés et les applications web visait à distribuer le botnet RondoDoX, ainsi que d’autres malware tels qu’une variante du botnet Mirai, le cryptominer Coinminer et le loader Bolts.
France
Nouvelle vague d’attaques paralysant une partie des activités du groupe La Poste [8]
Le 1er janvier 2026, les journalistes du journal Le Monde ont publié une analyse de la nouvelle cyberattaque touchant les services en ligne de La Poste et de la Banque Postale, rendant leurs sites difficilement accessibles dès 3 h 30 du matin. Cette offensive cible notamment les services de suivi de colis et le coffre-fort numérique Digiposte, tout en perturbant les parcours de paiement en ligne nécessitant une authentification forte via l’application bancaire.
Rapport d’activité 2024 sur les ingérences numériques étrangères publié par Viginum [9]
Le 30 décembre 2025, Viginum a publié son rapport d’activité pour l’année 2024, axé sur les ingérences numériques étrangères. Ce document revient sur l’évolution de la menace informationnelle, soulignant une année marquée par des événements politiques et sportifs majeurs, tels que les élections en France, où 25 manœuvres d’ingérence ont été détectées, ainsi que les Jeux olympiques de Paris, où 43 actions informationnelles ont été identifiées. L’agence met également en avant ses efforts et techniques pour améliorer la détection de ces ingérences numériques étrangères.
Cybercriminel
Un acteur malveillant revendique la compromission de 200 GB de données liées à l’Agence spatiale européenne [10]
Le 30 décembre 2025, l’Agence spatiale européenne (ESA) a signalé sur Twitter/X un incident de cybersécurité ayant affecté des serveurs situés en dehors du réseau de l’ESA. Bien que l’analyse forensique soit toujours en cours, l’agence est en mesure d’indiquer que les serveurs compromis prenaient en charge des activités d’ingénierie collaborative non classifiées au sein de la communauté scientifique », sans fournir plus de précision sur les liens avec l’agence. Le communiqué de l’ESA intervient quelques jours seulement après la revendication d’une cyberattaque contre cette dernière, publiée par un modérateur du forum criminel BreachForums.
Références portail XMCO
[1]
[2]
[3]
- https://github.com/joe-desimone/mongobleed
- https://doublepulsar.com/merry-christmas-day-have-a-mongodb-security-incident-9537f54289eb
- https://www.ox.security/blog/attackers-could-exploit-zlib-to-exfiltrate-data-cve-2025-14847/
- https://blog.ecapuano.com/p/hunting-mongobleed-cve-2025-14847
[4]
- https://www.exploit-db.com/exploits/51353
- https://www.vulncheck.com/advisories/dotclear-authenticated-remote-code-execution-via-file-upload
[5]
- https://www.bleepingcomputer.com/news/security/exploited-mongobleed-flaw-leaks-mongodb-secrets-87k-servers-exposed/
- https://www.ox.security/blog/attackers-could-exploit-zlib-to-exfiltrate-data-cve-2025-14847/#technical_analysis
- https://www.wiz.io/blog/mongobleed-cve-2025-14847-exploited-in-the-wild-mongodb
- https://censys.com/advisory/cve-2025-14847/
- https://x.com/vxunderground/status/2005008887234048091
- https://www.bleepingcomputer.com/news/security/massive-rainbow-six-siege-breach-gives-players-billions-of-credits/
[6]
- https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-124/
- https://thehackernews.com/2025/12/csa-issues-alert-on-critical.html
[7]
[8]
[9]
[10]
