Actualités & Veille Tech
Cybersécurité · Intelligence artificielle · Cloud · DevSecOps · Réseaux
CVE-2026-25874 : LeRobot de Hugging Face exposé à un RCE non
CVE-2026-25874 (CVSS 9.3) : RCE non authentifiée sur LeRobot Hugging Face via désérialisation pickle sur gRPC sans TLS. Aucun patch disponible, # nosec dans le code source.
Dernières actus
prt-scan : 500 PR malveillantes pilotées par IA sur GitHub
Wiz Research dévoile prt-scan : 500+ PR malveillantes orchestrées par IA depuis mars 2026 sur GitHub, ciblant pull_request_target. 50 dépôts compromis, 2 packages npm hijackés.
CVE-2026-3854 : un seul git push pour prendre GitHub.com
CVE-2026-3854 (CVSS 8.7) permet une RCE sur les serveurs GitHub via une option de push mal echappee. Patche en mars sur GitHub.com, divulgue le 28 avril : les GHES non patches restent exploitables.
Europol démantèle un réseau crypto de 50 M€ basé à Tirana
Europol et les autorités austro-albanaises démantèlent un réseau de fraude crypto de 50 M€ basé à Tirana : 10 arrestations, 450 employés, 6 langues ciblées.
LiteLLM CVE-2026-42208 : pré-auth SQLi exploitée en 36h
CVE-2026-42208 LiteLLM : SQL injection pré-authentifiée exploitée 36 heures après divulgation, exposant clés API OpenAI, Anthropic et Bedrock.
Copy Fail (CVE-2026-31431) : 732 octets pour root sur Linux
CVE-2026-31431 (Copy Fail) : un script Python de 732 octets suffit pour rooter toutes les distributions Linux livrées depuis 2017. Patch urgent.
Carnival : 8,7 M de comptes publiés par ShinyHunters
ShinyHunters publie 8,7 M de comptes du programme Mariner Society de Holland America. Carnival reconnaît un phishing initial. 7,5 M d'emails uniques exposés.
Outlook : Copilot devient agentique pour gérer vos emails
Microsoft rend Copilot agentique dans Outlook : l'agent trie, priorise, répond et reprogramme les réunions sans intervention. Six agents Azure Copilot arrivent en parallèle.
VECT 2.0 : ransomware devenu wiper, fichiers détruits
VECT 2.0 détruit définitivement tout fichier supérieur à 128 Ko sur Windows, Linux et ESXi : un bug de nonce transforme ce ransomware en wiper. Payer ne ramènera pas vos données.
Microsoft Defender RedSun : 2e Zero-Day en 15 Jours [2026]
Le chercheur Chaotic Eclipse a publié le 28 avril 2026 un PoC pour RedSun, deuxième zero-day Microsoft Defender en deux semaines. BlueHammer est patchée, RedSun et un troisième 0-day restent sans correctif.