cPanel patch urgent imposé 🚨, Gitea expose des conteneurs 📦, malwares ciblent Windows et Android 📱

Veille

28 mai 2026 • 2 minutes de lecture

Bonjour et bienvenue dans cette nouvelle édition du 28 mai 2026 de ta Cybere veille !

Retrouve les trois articles à la une du jour :

La CISA impose un délai de 4 jours pour corriger une faille critique dans le plugin LiteSpeed cPanel exploitable à distance
Une vulnérabilité dans Gitea permet l'accès non authentifié aux images de conteneurs privées avant la version 1.22.1
Deux campagnes actives diffusent Grandoreiro sur Windows et BTMOB RAT sur Android pour voler des données bancaires

La CISA accorde 4 jours aux agences fédérales pour corriger une faille activement exploitée dans un plugin cPanel

Une vulnérabilité critique dans le plugin LiteSpeed cPanel expose les serveurs fédéraux américains à des attaques par élévation de privilèges, avec des correctifs imposés sous 4 jours.

La faille CVE-2026-48172, liée à une mauvaise gestion des fonctionnalités Redis dans la fonction lsws.redisAble, permet à des attaquants distants sans privilèges d'exécuter des scripts arbitraires avec des droits root. LiteSpeed a publié des mises à jour urgentes jeudi pour les versions 2.3 à 2.4.4 du plugin, tout en fournissant une commande pour détecter les tentatives d'exploitation dans les logs.

Points d'attention

La CISA impose un délai strict jusqu'au 29 mai minuit pour les agences fédérales, conformément à la directive BOD 22-01.
Les versions vulnérables du plugin (2.3 à 2.4.4) doivent être mises à jour immédiatement, avec vérification des logs pour identifier d'éventuelles compromissions.
Bien que la directive ne concerne que les agences fédérales, la CISA recommande à tous les acteurs, y compris le secteur privé, de prioriser ce correctif.

Vulnérabilité dans Gitea exposant des images de conteneurs privées sans authentification

Une faille dans Gitea permet à des attaquants d'accéder à des images de conteneurs privées stockées dans des registries internes sans aucune authentification.

La vulnérabilité affecte les versions de Gitea antérieures à 1.22.1 et réside dans le composant de registry intégré, qui ne vérifie pas correctement les permissions lors des requêtes HTTP. Un attaquant peut exploiter cette faille en envoyant une requête spécialement conçue pour télécharger des images Docker privées, même sans droits d'accès.

Points d'attention

La faille touche uniquement les instances Gitea configurées avec un registry Docker activé.
Aucune interaction utilisateur n'est requise pour exploiter cette vulnérabilité.
Les versions 1.22.1 et ultérieures corrigent le problème, une mise à jour est recommandée.

Campagnes Grandoreiro et BTMOB RAT ciblant Windows et Android

Deux campagnes malveillantes simultanées visent les utilisateurs de Windows et Android, avec des risques de vol de données et de contrôle à distance des appareils.

La première campagne distribue le malware Grandoreiro, un cheval de Troie bancaire ciblant principalement les institutions financières en Amérique latine. Il utilise des leurres par e-mail et des documents Office malveillants pour infecter les systèmes Windows. La seconde campagne propage BTMOB RAT, un outil d'accès à distance (RAT) pour Android, dissimulé dans des applications contrefaites diffusées via des stores tiers ou des SMS.

Points d'attention

Grandoreiro exploite des macros Office pour exécuter du code malveillant sur Windows.
BTMOB RAT abuse des permissions Android pour espionner les utilisateurs et exfiltrer des données.
Les deux campagnes reposent sur des techniques d'ingénierie sociale pour tromper les victimes.

Autres actus importantes

Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

Merci d'avoir pris le temps de me lire.

À demain pour la prochaine veille 🔐 – Kilian de Cybere