De nouvelles mises à jour sont disponibles pour Cisco IOS et IOS XE afin de corriger 13 vulnérabilités, dont 1 faille zero-day déjà exploitée (CVE-2025-20352).

The post Patchez Cisco IOS : 13 vulnérabilités, dont 1 faille zero-day SNMP actuellement exploitée ! first appeared on IT-Connect.

Attention, si vous laissez tourner WebGoat sur votre machine, elle sera “extrêmement vulnérable aux attaques”. C’est en tout cas ce qui est écrit en gros sur la page de ce projet OWASP , et c’est pas pour faire joli car WebGoat est une application web délibérément pourrie, truffée de failles de sécurité, créée exprès pour que cous appreniez à les exploiter.

Et c’est génial !!

Car on a enfin un truc qui nous permet d’apprendre vraiment comment les hackers s’infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour “apprendre”, c’est direct trois ans de prison et 100 000 euros d’amende. Alors qu’avec WebGoat, vous pouvez tout péter tranquille depuis chez vous.

WebGoat , c’est donc un projet open source maintenu par l’OWASP depuis des années qui vous propose uune application web qui ressemble à n’importe quel site lambda, sauf qu’elle est bourrée de vulnérabilités volontaires telles que des injections SQL, XSS, CSRF, contrôle d’accès défaillant… bref, toutes les saloperies du Top 10 OWASP sont là, prêtes à être exploitées.

Et WebGoat fonctionne comme un cours interactif car pour chaque vulnérabilité, vous avez trois étapes : d’abord on vous explique comment ça marche, ensuite vous devez l’exploiter vous-même via des exercices pratiques, et enfin on vous montre comment corriger le problème. On apprend en faisant !

D’après la doc officielle , WebGoat couvre presque toutes les vulnérabilités du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c’est LA référence mondiale des failles de sécurité web.

Au sein de WebGoat se cache aussi WebWolf, une application séparée qui simule la machine de l’attaquant. Ça tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme ça, vous avez vraiment la séparation entre ce qui se passe côté victime et côté attaquant. WebWolf vous permet également d’uploader vos payloads ou outils, de recevoir des données exfiltrées, et même de simuler un serveur mail pour les attaques de phishing.

Et pour installer tout ça, le plus simple c’est Docker :

docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat

Ou si vous préférez la version standalone avec Java :

java -Dfile.encoding=UTF-8 -jar webgoat-2025.3.jar

Une fois lancé, vous accédez à WebGoat sur http://localhost:8080/WebGoat et WebWolf sur http://localhost:9090/WebWolf. Vous vous créez un compte (c’est juste en local, pas de panique) et c’est parti pour les exercices !

Les leçons sont vraiment bien foutues. Prenez l’injection SQL par exemple. D’abord on vous montre comment une requête SQL mal protégée peut être détournée. Ensuite vous devez exploiter la faille pour voler des numéros de cartes bancaires (fausses, hein), et à la fin, on vous explique comment utiliser les prepared statements pour éviter ce genre de conneries.

Et n’allez pas croire que ça s’adresse uniquement aux pro. Non, les débutants ont des exercices guidés avec des indices, et les plus avancés ont des “challenges” sans aucune aide semblables à des CTF (Capture The Flag).

Et pour les développeurs, c’est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la sécurité ! Car, croyez-moi, une fois que vous avez réussi à dumper toute une base de données avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entrées utilisateur de la même façon.

Attention quand même, WebGoat n’est pas un jouet. Les techniques que vous apprenez sont réelles et fonctionneront sur de vrais sites mal sécurisés. D’ailleurs, l’OWASP est très clair là-dessus : “Si vous tentez ces techniques sans autorisation, vous allez très probablement vous faire choper”. Et n’oubliez pas, comme vous ne faites partie d’aucun parti politique, pour vous y’aura vraiment de la zonzon.

D’ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu’il n’écoute que sur localhost, parce que si quelqu’un d’autre sur votre réseau découvre que vous avez une application volontairement vulnérable qui tourne… Disons que ça pourrait mal finir ;-).

Ah et WebGoat s’intègre super bien avec d’autres outils de sécurité. Ça permet du coup de se former aussi dans la foulée sur Burp Suite, OWASP ZAP, ou SQLMap.

Bref, installez WebGoat ce weekend et amusez-vous à tout casser. Vous m’en direz des nouvelles !!

Et un grand merci à Letsar pour l’info !

Google a publié une mise à jour de sécurité pour son navigateur Chrome, suite à la découverte de quatre failles de sécurité, dont une zero-day : CVE-2025-10585.

The post 4 failles corrigées dans Google Chrome dont une faille zero-day déjà exploitée ! first appeared on IT-Connect.

Hier, j’étais en train de lire un bulletin de sécurité Microsoft (oui, je sais, passion de ouf) quand j’ai réalisé que je passais pas mal de temps à chercher des infos sur les CVE surtout que les mecs ne mettent pas forcement de liens pour en savoir plus. Bah ouais, la CVE-2024-21762, ça vous parle ? Non ? Normal, personne ne retient ces codes à la con. Mais avec l’extension Vulners Lookup que je viens de découvrir, c’est devenu carrément plus simple.

Le principe est tout bête… L’extension scanne automatiquement toutes les pages web que vous visitez et surligne en orange chaque identifiant CVE qu’elle trouve. Un simple survol avec la souris et boom, vous avez toutes les infos importantes dans une petite carte qui s’affiche : le score CVSS pour la sévérité, l’EPSS pour la probabilité d’exploitation, et même un Score IA qui estime l’impact réel. Comme ça, plus besoin d’ouvrir 15 onglets pour comprendre si une vulnérabilité est vraiment dangereuse ou si c’est juste du bruit.

Pour fonctionner, cette extension utilise la base de données Vulners.com qui agrège plus de 200 sources différentes. Vulners, c’est 250 Go de données sur les vulnérabilités, constamment mise à jour. Et pas besoin de vous créer un compte, pas d’abonnement, c’est gratuit et ça marche direct après l’install.

Pour les techos qui veulent aller plus loin, Vulners propose aussi une API REST pour intégrer ces données dans vos propres outils. Il y a même un plugin Nmap et une extension Burp Suite pour ceux qui font du pentest. Sans oublier la bibliothèque Python mise à jour en août dernier pour automatiser vos recherches de vulnérabilités.

Un truc cool aussi, c’est l’indicateur KEV (Known Exploited Vulnerabilities) qui vous dit si la vulnérabilité fait partie du catalogue CISA des vulnérabilités exploitées . C’est super utile pour prioriser entre une faille avec un CVSS élevé mais pas encore exploitée et une faille avec un score moyen mais activement utilisée…

Pour l’installer, c’est du classique, vous allez sur le Chrome Web Store , vous cliquez sur le bouton d’installation et c’est parti. L’extension demandera juste la permission de lire le contenu des pages pour détecter les CVE, rien de plus. Pas de tracking, pas de collecte de données perso, juste de la détection de patterns CVE-XXXX-XXXXX à l’ancienne.

Bref, pour ceux qui bossent dans la sécu (SOC, équipes IR, pentesters, DevSecOps), c’est clairement un truc à avoir pour éviter de jongler entre les onglets ou de maintenir des bookmarks de bases de vulnérabilités. Tout est accessible en un survol de souris, directement là où vous travaillez.

Amusez-vous bien !

Citrix a publié des correctifs pour trois vulnérabilités affectant ses produits NetScaler ADC et NetScaler Gateway, dont une faille zero-day : CVE-2025-7775.

The post Citrix NetScaler – CVE-2025-7775 : une nouvelle zero-day exploitée dans des attaques ! first appeared on IT-Connect.

HPE corrige une faille critique dans Aruba Instant On : des identifiants codés en dur permettaient de prendre le contrôle des points d'accès Wi-Fi.

The post HPE Aruba : patchez vos points d’accès Wi-Fi pour éliminer ces identifiants codés en dur ! first appeared on IT-Connect.

Les serveurs SharePoint sont menacés par deux failles zero-day exploitées par les pirates depuis le 18 juillet 2025 : CVE-2025-53770 et CVE-2025-53771.

The post Les serveurs SharePoint menacés par ces deux failles zero-day : 85 serveurs déjà compromis ! first appeared on IT-Connect.

La mise à jour GLPI 10.0.19 n'est pas à prendre à la légère puisqu'elle corrige un ensemble de 9 failles de sécurité, dont une vulnérabilité importante.

The post Passez sur GLPI 10.0.19 pour vous protéger de ces 9 failles de sécurité first appeared on IT-Connect.

Failles critiques VMware (CVE-2025-41236, 41237, 41238, 41239) : exécution de code et fuite de données possibles depuis une VM sur ESXi, Workstation et Fusion.

The post VMware ESXi et Workstation : des failles permettent l’exécution de code sur l’hôte depuis une VM first appeared on IT-Connect.