Agents IA piégés sur GitHub 🤖, nouvelle faille root sous Linux 🐄, failles critiques dans Synology MailPlus 📧

3 minutes de lecture

Bonjour, voici ta veille Cybere du 28 juin 2026 !

Du dépôt GitHub qui piège un agent de code à la énième faille du cache de pages Linux, l'actualité du jour montre des angles d'attaque toujours plus indirects, là où la défense regarde rarement.

Retrouve les trois articles à la une du jour :

  • Un dépôt GitHub d'apparence inoffensive piège des agents IA pour exécuter du code
  • Une faille Linux permet une escalade de privilèges sans modification de fichiers
  • Synology corrige trois failles critiques dans MailPlus Server

Des agents IA piégés par un dépôt GitHub d'apparence inoffensive

Des chercheurs de Mozilla ont démontré qu'un dépôt GitHub apparemment inoffensif peut tromper Claude Code pour exécuter un code malveillant sans alerte ni détection. À ce stade, il s'agit d'une démonstration basée sur l'IA « Zero Day Investigative Network » (0DIN) de Mozilla sans exploitation observée.

L'attaque combine trois éléments bénins en isolation : un dépôt légitime avec instructions de configuration, un package Python qui force l'exécution d'une commande d'initialisation, et un script récupérant une charge utile dans un enregistrement DNS TXT contrôlé par l'attaquant. L'agent automatise toute la chaîne d'exploitation en tentant simplement de corriger une erreur perçue comme normale. En cas de succès, l'attaquant obtient un shell aux privilèges du développeur, donnant accès aux variables d'environnement, clés d'API et fichiers de configuration locaux.

Points d'attention

  • L'agent IA n'exécute jamais intentionnellement de shell. Il corrige une erreur d'initialisation légitime apparente.
  • Aucun composant malveillant ne réside dans le dépôt cloné, rendant la détection par scanners quasi impossible.
  • Les attaquants pourraient diffuser ces dépôts via fausses offres d'emploi, tutoriels ou messages directs ciblant des développeurs.

→ Lire la source


Une faille Linux permet l'escalade de privilèges sans fichiers modifiés

La CVE-2026-46331, surnommée pedit COW, est une écriture hors limites dans le sous-système de contrôle de trafic du noyau Linux. Un utilisateur local non privilégié peut corrompre la mémoire du cache de pages partagées pour obtenir l'accès root.

L'exploit injecte un payload dans une copie en mémoire d'un binaire setuid (/bin/su) sans toucher au fichier disque, contournant ainsi les vérifications d'intégrité. Red Hat qualifie cette faille d'importante. Un exploit public a circulé dans la foulée de l'attribution du CVE, le 16 juin.

Points d'attention

  • pedit COW prolonge la série Dirty Pipe / Copy Fail / DirtyClone / DirtyFrag, même schéma de corruption du cache de pages, avec ici un nouveau point d'entrée via le sous-système tc (traffic control).
  • La vulnérabilité affecte RHEL 8, 9, 10, Debian 11 et 12 (trixie 13 est déjà corrigé), ainsi qu'Ubuntu 18.04 à 26.04.
  • Désactiver le module act_pedit ou les espaces de noms utilisateur non privilégiés neutralise l'exploit, mais nécessite des tests préalables.

→ Lire la source


Synology corrige trois failles critiques dans MailPlus Server

Synology a publié un correctif pour trois vulnérabilités critiques affectant MailPlus Server, un logiciel permettant de déployer une infrastructure email privée sur ses appareils NAS.

La CVE-2026-13136 résulte de contrôles d'autorisation défaillants et permet aux attaquants distants de lire ou écrire des fichiers arbitraires et conduire des attaques par déni de service. La CVE-2026-13135, causée par une restriction inadéquate des canaux de communication, autorise l'accès aux services internes. La CVE-2025-15660, liée à l'utilisation d'un générateur de nombres pseudo-aléatoires cryptographiquement faible, permet aux attaquants adjacents de lire ou écrire des fichiers et mener des attaques par déni de service.

Points d'attention

  • Les installations sous DiskStation Manager 7.3, 7.2.2 ou 7.2.1 doivent passer à la version 4.0.1-31663, seule parade en l'absence d'atténuation.
  • Selon Bitsight, plus de 2 100 déploiements de MailPlus Server sont exposés sur Internet, principalement en Allemagne, Asie et États-Unis.
  • Les petites et moyennes entreprises utilisant ce logiciel pour l'auto-hébergement email sont particulièrement concernées.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere