CVE-2025-67842

Vulnérabilités React et Silencesoft RSS Reader, Escalade de privilèges sur macOS

Des failles de sécurité ont été identifiées dans plusieurs logiciels et composants.

Points Clés :

• React : Des vulnérabilités permettent l’exécution de code à distance non authentifiée via le décodage de charges utiles dans les points d’accès React Server Function. De plus, des attaques par déni de service sont possibles en envoyant des requêtes HTTP malveillantes à des fonctions serveur, provoquant des boucles infinies.
• macOS : Un outil privilégié (Aquarius HelperTool) présente une vulnérabilité permettant à un attaquant local d’escalader ses privilèges en exploitant une validation d’identité défectueuse des connexions XPC.
• WordPress : Le plugin Silencesoft RSS Reader est affecté par une faille de type Cross-Site Request Forgery (CSRF) qui autorise des attaquants non authentifiés à supprimer des flux RSS.

Vulnérabilités Identifiées :

• CVE-2025-55182 : Exécution de code à distance non authentifiée dans React.
• CVE-2025-55183, CVE-2025-67779 : Déni de service dans React Server Components.
• CVE-2025-65842 : Escalade de privilèges locale sur macOS via Aquarius HelperTool.
• CVE-2025-7842 : Cross-Site Request Forgery (CSRF) dans Silencesoft RSS Reader pour WordPress.

Recommandations :

Bien que des recommandations spécifiques ne soient pas détaillées dans l’extrait, il est implicite que les utilisateurs de React, macOS (avec Aquarius HelperTool) et les installations WordPress utilisant le plugin Silencesoft RSS Reader doivent se tenir informés des correctifs dès leur disponibilité. Une vigilance accrue est recommandée face aux vulnérabilités d’exécution de code à distance, de déni de service et d’escalade de privilèges.

Source