Ep.643 – RadioCSIRT Édition Française – Flash info cybersécurité du mardi 12 mai 2026

mai 12, 2026 marc Commentaires fermés sur Ep.643 – RadioCSIRT Édition Française – Flash info cybersécurité du mardi 12 mai 2026
L'actualité Cyber Sécu pour les CSIRT/CERT
L'actualité Cyber Sécu pour les CSIRT/CERT
Ep.643 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 12 mai 2026
Loading
/

Une nouvelle vague de l’opération Shai-Hulud, attribuée au groupe TeamPCP, a compromis des centaines de packages npm et PyPI dont TanStack, Mistral AI, Guardrails AI, UiPath et OpenSearch. Les attaquants ont détourné des tokens OpenID Connect valides pour publier des versions malveillantes avec attestation de provenance SLSA Build Level 3, exfiltrant credentials GitHub, npm, AWS, Vault et Kubernetes via le réseau P2P Session.

Le CERT-FR a publié l’avis CERTFR-2026-AVI-0553 couvrant onze CVE dans PHP, exploitables pour déni de service à distance, injection SQL et XSS. Sont concernées les branches 8.2.x antérieures à 8.2.31, 8.3.x antérieures à 8.3.31, 8.4.x antérieures à 8.4.21 et 8.5.x antérieures à 8.5.6.

OpenAI lance Daybreak, plateforme cybersécurité défensive bâtie sur GPT-5.5 et Codex. Elle couvre secure code review, threat modeling, malware analysis et patch validation, et se décline en trois niveaux d’accès dont un tier GPT-5.5-Cyber réservé aux opérations de penetration testing et red teaming sous accès contrôlé.

La FCC prolonge jusqu’au 1er janvier 2029 le waiver autorisant les mises à jour logicielles et firmware des routeurs étrangers inscrits sur la Covered List. Le waiver couvre désormais les Class II permissive changes. TP-Link et DJI restent en attente d’exemption.

La vulnérabilité Copy Fail, CVE-2026-31431, divulguée par Theori, est une LPE déterministe et universelle dans l’interface AF_ALG du noyau Linux. L’écriture de quatre octets dans le page cache permet de modifier un binaire setuid en mémoire et d’obtenir root. Inscrite au catalogue KEV de la CISA avec échéance fédérale au 15 mai.

Le CERT Polska divulgue CVE-2026-5029, une remote code execution non authentifiée affectant toutes les versions de Code Runner MCP Server lancé avec l’option –transport http. Le endpoint /mcp sur port 3088 est exposé sans authentification, permettant l’exécution de code arbitraire via child_process.exec(). Aucun correctif disponible.

L’entreprise brésilienne Huge Networks, spécialisée dans la mitigation DDoS, héberge un botnet Mirai ciblant des ISP locaux via des routeurs TP-Link Archer AX21 vulnérables à CVE-2023-1389. Les scripts Python exposés exploitaient les clés SSH du CEO Erick Nascimento pour orchestrer des attaques par DNS reflection et amplification.

D’après le SANS Internet Storm Center, Apple a publié 84 correctifs couvrant iOS, iPadOS, macOS, tvOS, watchOS et visionOS. Aucune des failles n’est exploitée à ce jour. Plusieurs CVE permettent une exécution de code kernel via Wi-Fi, des élévations vers root et des bypass de Gatekeeper via ZIP ou disk image piégés.

Sources :

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #ThreatIntelligence #ShaiHulud #TeamPCP #TanStack #MistralAI #SupplyChain #npm #PyPI #SLSA #OIDC #PHP #CERTFR #OpenAI #Daybreak #GPT55 #ClaudeMythos #FCC #TPLink #DJI #CopyFail #LinuxKernel #CISA #KEV #MCP #CodeRunner #CERTPolska #HugeNetworks #Mirai #TPLinkArcher #DDoS #Apple #iOS #macOS #Gatekeeper #WebKit #RadioCSIRT