RadioCSIRT — Votre actu cybersécurité du mardi 28 octobre 2025 (Ép.468)

Bienvenue dans votre bulletin cybersécurité du jour ⚡️💰 Chainguard — Financement de 280 millions de dollarsChainguard a levé 280 millions de dollars auprès de General Catalyst pour accélérer la diffusion d’un open source sécurisé et vérifiable.L’entreprise dépasse désormais 892 millions de dollars de financement total et revendique plus de 1 700 images “zero-CVE” dans son catalogue.🐧 Xen — CVE-2025-58149Une vulnérabilité dans l’hyperviseur Xen, référencée CVE-2025-58149, permet une atteinte à la confidentialité des données et un contournement de la politique de sécurité.Les versions 4.18.x à 4.20.x ainsi que xen-unstable sont concernées en l’absence des correctifs xsa476.🔐 MongoDB — CVE-2025-12100Le pilote ODBC MongoDB contient une faille d’élévation de privilèges.Identifiée sous CVE-2025-12100, elle touche toutes les versions antérieures à 1.4.7.La mise à jour 1.4.7 corrige le problème.🧱 TheGreenBow — CVE-2025-11955Une vulnérabilité dans le client VPN TheGreenBow versions 7.5.x et 7.6.x permet le contournement de la politique de sécurité.Un correctif est disponible dans le bulletin 18200 publié le 27 octobre 2025.💻 QNAP — CVE-2025-55315QNAP alerte sur une faille critique ASP.NET Core affectant NetBak PC Agent sous Windows.Cette vulnérabilité, référencée CVE-2025-55315, permet à un attaquant de détourner des identités ou de contourner les contrôles HTTP.QNAP recommande de réinstaller NetBak PC Agent ou de mettre à jour ASP.NET Core.🌐 OpenVPN — CVE-2025-10680Une faille critique touche OpenVPN 2.7_alpha1 à 2.7_beta1.Référencée CVE-2025-10680, elle autorise des injections de scripts via les paramètres DNS pouvant mener à l’exécution de commandes arbitraires.Le correctif est inclus dans la version 2.7_beta2 publiée le 27 octobre 2025.💳 Mastercard — Threat IntelligenceMastercard dévoile Threat Intelligence, une solution de renseignement sur les menaces dédiée à la lutte contre la fraude liée aux paiements.Basée sur la technologie de Recorded Future, elle fournit des alertes en temps réel sur les tests de cartes, le skimming et les menaces visant les marchands.Depuis sa phase pilote, elle a permis de neutraliser plus de 9 500 domaines malveillants responsables d’environ 120 millions de dollars de fraude.⚡️ On ne réfléchit pas, on patch !📚 Sources :https://www.prnewswire.com/news-releases/chainguard-announces-280-million-growth-financing-from-general-catalyst-to-usher-in-next-era-of-trusted-open-source-software-302592279.htmlhttps://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0926/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0929/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0927/https://www.bleepingcomputer.com/news/security/qnap-warns-its-windows-backup-software-is-also-affected-by-critical-aspnet-flaw/https://cybersecuritynews.com/openvpn-vulnerability-exposes-systems/https://www.helpnetsecurity.com/2025/10/28/mastercard-threat-intelligence/📞 Partagez vos retours :📱 07 68 72 20 09📧 [email protected]🌐 www.radiocsirt.org📰 radiocsirt.substack.com#CyberSécurité #Chainguard #MongoDB #TheGreenBow #Xen #QNAP #OpenVPN #Mastercard #CVE202512100 #CVE202511955 #CVE202558149 #CVE202555315 #CVE202510680 #RadioCSIRT