Votre actualité Cybersécurité du mardi 6 janvier 2026 (Ép. 538)

janvier 6, 2026 marc Commentaires fermés sur Votre actualité Cybersécurité du mardi 6 janvier 2026 (Ép. 538)
RadioCSIRT
RadioCSIRT
Votre actualité Cybersécurité du mardi 6 janvier 2026 (Ép. 538)
Loading
/

Nous ouvrons cet épisode avec une vulnérabilité critique dans n8n rapportée par Security Online. La CVE-2025-68668, avec un score CVSS de 9.9, permet à un utilisateur authentifié d’échapper au sandbox Python de la plateforme d’automatisation pour exécuter des commandes système arbitraires, transformant le Code Node en vecteur de compromission totale du système hôte.

CVEfeed.io signale une faille de chargement de DLL non contrôlé dans AsusSoftwareManagerAgent. La CVE-2025-12793, évaluée à 8.5 en CVSS 4.0, exploite un chemin de recherche non fiable permettant à un attaquant local d’exécuter du code arbitraire via la manipulation de Namespaces de DLL.

Clubic revient sur la disparition du domaine principal d’Anna’s Archive. Le registre a placé annas-archive.org sous statut serverHold deux semaines après la mise en ligne de 300 téraoctets de données Spotify, suggérant une action légale du Public Interest Registry suite aux poursuites de l’OCLC pour extraction de 2,2 téraoctets de données WorldCat.

Phoronix rapporte une situation critique pour le projet Debian : les trois membres délégués de la Data Protection Team ont démissionné simultanément, laissant le projet sans équipe active pour gérer les obligations RGPD. Le leader du projet Andreas Tille assure désormais ce rôle de manière ad-hoc en attendant de nouveaux volontaires.

Enfin, le CERT-FR a émis l’avis CERTFR-2026-AVI-0004 concernant la CVE-2025-13699 affectant plusieurs branches de MariaDB. L’éditeur n’a pas spécifié la nature exacte du problème de sécurité, mais recommande une mise à jour vers les versions 10.11.15, 10.6.24, 11.4.9 ou 11.8.4.

Sources :

Security Online – n8n CVE-2025-68668 : https://securityonline.info/n8n-sandbox-escape-how-cve-2025-68668-turns-workflows-into-weapons/

CVEfeed.io – CVE-2025-12793 ASUS : https://cvefeed.io/vuln/detail/CVE-2025-12793

Clubic – Anna’s Archive domaine : https://www.clubic.com/actualite-593797-le-site-qui-avait-pirate-spotify-perd-son-nom-de-domaine.html

Phoronix – Debian Data Protection Team : https://www.phoronix.com/news/No-Debian-Data-Protection-Team

CERT-FR – Vulnérabilité MariaDB : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0004/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com