Actualités & Veille Tech
Cybersécurité · Intelligence artificielle · Cloud · DevSecOps · Réseaux
FunnelKit WordPress : vol CB actif sur 40 000 boutiques
Une vulnérabilité critique du plugin FunnelKit pour WooCommerce est activement exploitée pour injecter des skimmers JavaScript sur les pages de checkout, dérobant numéros de carte, CVV et adresses de facturation.
Dernières actus
UK CMA ouvre enquête antitrust Microsoft Windows (51c)
La Competition and Markets Authority britannique a lancé le 14 mai 2026 une enquête pour statut de marché stratégique visant Windows, Office, Teams et Copilot de Microsoft pour 15 millions d'utilisateurs professionnels.
Grafana : vol du code source via GitHub Actions et extorsion
Un acteur malveillant a exploité une GitHub Action mal configurée pour voler le code source privé de Grafana Labs, avant de tenter une extorsion que la société a refusé de payer.
Google GTIG stoppe le premier zero-day 2FA bâti par IA
Le Threat Intelligence Group de Google révèle le premier zero-day 2FA développé avec l'aide d'un modèle d'IA, intercepté avant son déploiement en mass exploitation.
Google fait d'Android un "intelligence system" Gemini
Au Android Show 2026, Google annonce Gemini Intelligence et transforme Android en "intelligence system" agentique, avec déploiement sur Pixel 10 et Galaxy S26 cet été.
Cushman & Wakefield : 50 Go Salesforce volés par vishing
Le géant immobilier Cushman & Wakefield a perdu 50 Go de données Salesforce après une attaque de vishing menée par ShinyHunters. La rançon refusée, le dataset complet a été publié.
Microsoft : 35 000 utilisateurs piégés par AiTM Code of
Microsoft Threat Intelligence détaille une campagne AiTM ayant ciblé 35 000 utilisateurs dans 13 000 organisations sur 26 pays via des leurres RH disciplinaires détournant les cookies de session Microsoft 365.
WordPress CVE-2026-4882 : Faille RCE User Registration
CVE-2026-4882 (CVSS 9.8) permet l'upload de webshell PHP sans authentification sur les sites WordPress utilisant User Registration Advanced Fields. Plus de 60 000 sites concernés, exploitation automatisée depuis le 6 mai 2026.
SAP Commerce Cloud CVE-2026-34263 : RCE sans auth (CVSS 9.6)
SAP a publié le 13 mai 2026 un correctif pour CVE-2026-34263, une faille critique de configuration Spring Security dans Commerce Cloud permettant l'upload non authentifié de fichiers ImpEx et la RCE complète.
Claw Chain : 4 CVE chaînées exposent 245 000 agents IA
Cyera Research dévoile Claw Chain : quatre vulnérabilités chaînables (CVE-2026-44112, 44113, 44115, 44118) dans la plateforme open-source d'agents IA OpenClaw. 245 000 serveurs exposés, correctif dans la version 2026.4.22.