RadioCSIRT

Nous ouvrons cet épisode avec le CERT-FR qui a publié quatre avis de sécurité. L’avis CERTFR-2026-AVI-0047 concerne une vulnérabilité dans F5 NGINX Ingress Controller. La CVE-2025-14727 permet un contournement de la politique de sécurité sur les versions 5.x antérieures à 5.3.1. F5 a publié le bulletin K000158176 avec les correctifs disponibles. L’avis CERTFR-2026-AVI-0048 signale de multiples vulnérabilités dans Wireshark permettant un déni de service à distance. Quatre bulletins wnpa-sec-2026-01 à 04 ont été publiés le 15 janvier pour les versions 4.4.x antérieures à 4.4.13 et 4.6.x antérieures à 4.6.3. L’avis CERTFR-2026-AVI-0054 adresse deux vulnérabilités dans Centreon Infra Monitoring. La CVE-2025-43864 et la CVE-2025-43865 permettent un contournement de la politique de sécurité et un déni de service à distance sur les versions 25.10.x. Enfin, l’avis CERTFR-2026-AVI-0057 concerne de multiples vulnérabilités dans le noyau Linux de Debian LTS. Le bulletin DLA-4436-1 adresse 120 CVE distinctes pour Debian bullseye versions antérieures à 6.1.159-1, incluant la CVE-2024-47666 et les CVE-2025-37899 à CVE-2025-68734.

CVEFeed.io référence la CVE-2025-10484, une vulnérabilité d’authentication bypass affectant le plugin WordPress Registration & Login with Mobile Phone Number for WooCommerce. Le score CVSS 3.1 atteint 9.8, classant cette faille comme critique. Toutes les versions jusqu’à 1.3.1 sont vulnérables. Le plugin ne vérifie pas correctement l’identité des utilisateurs avant de les authentifier via la fonction fma_lwp_set_session_php_fun. Un attaquant non authentifié peut ainsi s’authentifier comme n’importe quel utilisateur du site, y compris les administrateurs, sans mot de passe valide. La vulnérabilité est classée CWE-288, authentication bypass using an alternate path or channel.

Enfin, Linux Journal annonce le lancement de Loss32, une distribution Linux légère développée pour redonner vie au matériel ancien et aux systèmes à ressources limitées. La distribution supporte les CPU 32 bits et 64 bits avec un minimum de 512 Mo de RAM et 4 Go d’espace disque. Loss32 embarque un environnement de bureau customisé basé sur un hybride Xfce/XF-Lite, offrant une empreinte mémoire réduite. L’installateur utilise une interface guidée facilitant la migration depuis Windows ou macOS. La roadmap inclut l’amélioration du support des adaptateurs wireless, des optimisations pour le gaming sur hardware legacy, et la localisation multilingue.

Sources : 

• CERT-FR – Noyau Linux Debian LTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0057/
• CVEFeed.io – CVE-2025-10484 : https://cvefeed.io/vuln/detail/CVE-2025-10484
• Linux Journal – Loss32 : https://www.linuxjournal.com/content/introducing-loss32-new-lightweight-linux-distro-focus-legacy-hardware
• CERT-FR – F5 NGINX Ingress Controller : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0047/
• CERT-FR – Wireshark : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0048/
• CERT-FR – Centreon Infra Monitoring : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0054/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com