CVE-2025-59534
Mis à jour :
Failles critiques dans CryptoLib affectant la communication spatiale
Une vulnérabilité critique, identifiée comme CVE-2025-59534, a été découverte dans CryptoLib, un logiciel essentiel pour la communication sécurisée entre les engins spatiaux et les stations au sol. Le défaut réside dans la fonction initialize_kerberos_keytab_file_login(), où les données d’entrée fournies par l’utilisateur sont intégrées directement dans une commande shell sans validation adéquate avant exécution.
Ce défaut a permis à des acteurs malveillants de potentiellement injecter des commandes arbitraires, compromettant ainsi l’intégrité et la confidentialité des échanges spatiaux. La faille a été présente pendant trois ans, de septembre 2022 à septembre 2025.
Points Clés:
- Nature de la vulnérabilité: Injection de commande.
- Composant affecté: Fonction
initialize_kerberos_keytab_file_login()dans CryptoLib. - Impact potentiel: Contrôle arbitraire des commandes exécutées, compromission de la communication spatiale.
- Période d’existence: Septembre 2022 - Septembre 2025.
Vulnérabilités:
- CVE-2025-59534: Injection de commande due à l’utilisation directe d’entrées utilisateur dans des commandes système via
system().
Recommandations:
- Mettre à jour CryptoLib vers la version 1.4.2 ou une version ultérieure pour bénéficier du correctif.
- Revoir et renforcer les mécanismes de validation et de désinfection des entrées utilisateur dans les fonctions d’exécution de commandes.