Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CVE-2025-67842

1 minute de lecture

Mis à jour :

Vulnérabilités React et Extensions WordPress

Des vulnérabilités ont été identifiées dans des composants logiciels, notamment dans la librairie React et dans une extension WordPress.

Points Clés :

  • CVE-2025-55182 : Permet l’exécution de code à distance par des attaquants non authentifiés via une faille dans la manière dont React décode les charges utiles envoyées aux points de terminaison des fonctions serveur React. Même sans implémentation directe de ces fonctions, une application peut être affectée si elle supporte les composants serveur React. La vulnérabilité découle d’une désérialisation non sécurisée des charges utiles React Flight sur le serveur.
  • CVE-2025-55183 et CVE-2025-67779 : Ces failles dans les composants serveur React peuvent entraîner un déni de service. Une requête HTTP malveillante adressée à n’importe quel point de terminaison des fonctions serveur peut provoquer une boucle infinie, bloquant le processus serveur et consommant le CPU.
  • CVE-2025-65842 : Concerne l’outil HelperTool d’Aquarius (version 1.0.003) sur macOS, permettant une élévation de privilèges locale. Le service accepte des connexions XPC de tout processus local sans validation de l’identité du client. De plus, sa logique d’autorisation appelle incorrectement AuthorizationCopyRights avec une référence nulle, ce qui fait que toutes les vérifications d’autorisation réussissent.
  • CVE-2025-7842 : Une vulnérabilité de type Cross-Site Request Forgery (CSRF) affecte le plugin Silencesoft RSS Reader pour WordPress. Elle permet à des attaquants non authentifiés de supprimer des flux RSS de l’installation WordPress concernée.

Recommandations :

Bien que l’article ne fournisse pas de recommandations spécifiques pour chaque CVE, les informations présentées impliquent la nécessité de :

  • Mettre à jour les librairies React et les composants serveur React vers des versions corrigées.
  • Appliquer les correctifs de sécurité pour l’outil HelperTool d’Aquarius sur macOS.
  • Désactiver ou mettre à jour le plugin Silencesoft RSS Reader pour WordPress s’il est installé.
  • Implémenter des mesures de sécurité pour prévenir les attaques CSRF dans les applications web.
  • Restreindre les privilèges des processus locaux et vérifier rigoureusement les autorisations.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces