Zimbra : faille XSS critique corrigée 🛡️, Progress coupe ses contrôleurs 🚨, Okta alerte sur un vishing Microsoft 🎣

3 minutes de lecture

Bonjour, voici ta veille Cybere du 11 juillet 2026 !

Les failles s'enchaînent et les attaquants adaptent leurs tactiques, forçant éditeurs et entreprises à réagir en urgence.

Retrouve les trois articles à la une du jour :

  • Zimbra corrige une faille XSS critique dans son client web
  • Progress exige l'arrêt des contrôleurs ShareFile face à une menace
  • Okta signale des attaques vocales ciblant Microsoft 365

Zimbra publie un correctif critique contre une faille XSS

Zimbra a publié la version 10.1.19 mardi pour corriger une faille de cross-site scripting stockée affectant son Classic Web Client, utilisé par des centaines de millions de personnes et des agences gouvernementales. Cette faille n'a pas encore reçu d'identifiant CVE.

Des attaquants peuvent exploiter cette faille par le biais de courriels spécialement conçus qui exécutent du code malveillant à l'ouverture du message. L'exploitation réussie pourrait permettre aux acteurs malveillants de dérober des données de session, des paramètres de compte ou des informations de boîte aux lettres. Zimbra n'a pas encore qualifié cette faille d'exploitée en conditions réelles. Elle a été signalée par le Threat Analysis Group de Google, qui traque généralement les zero-days déployés par des acteurs étatiques contre des cibles à risque (opposants, dissidents, journalistes), un indice du sérieux de la menace.

Points d'attention

  • Zimbra recommande fortement à tous les utilisateurs du Classic Web Client de mettre à jour vers v10.1.19 immédiatement.
  • Zimbra est une cible récurrente des acteurs russes : Winter Vivern (vol d'emails de l'OTAN en 2023), APT29, et en mars APT28 via la CVE-2025-66376 contre des entités gouvernementales ukrainiennes.
  • Autre précédent : plus de 10 500 instances Zimbra restaient vulnérables en avril à la CVE-2025-48700 selon Shadowserver.

→ Lire la source


Progress Software demande l'arrêt immédiat de ses contrôleurs

Progress Software a ordonné aux clients ShareFile de désactiver les serveurs Windows exécutant leurs Storage Zone Controllers face à une menace de sécurité externe jugée crédible.

L'éditeur a temporairement bloqué l'accès aux comptes affectés par mesure de précaution, sans révéler la nature de la menace ni son origine, et affirme n'avoir aucun indice d'accès non autorisé. L'absence de correctif disponible et le choix d'un arrêt complet plutôt qu'un correctif suggèrent une faille nouvellement découverte ou un problème ne pouvant être résolu par mise à jour.

Points d'attention

  • Le Storage Zone Controller, serveur en périphérie de réseau, reste seul affecté, pas les comptes cloud standard.
  • ShareFile, alors propriété de Citrix, avait déjà subi une exploitation en 2023 via la CVE-2023-24489, menée sans authentification préalable. Citrix avait imposé le même blocage d'accès qu'aujourd'hui.
  • Les clients doivent préserver les journaux, vérifier l'absence de fichiers .aspx non autorisés et maintenir les systèmes hors ligne jusqu'à directive de Progress, même sur une version à jour.

→ Lire la source


Okta alerte sur des attaques vocales ciblant Microsoft 365

Un groupe de hackers connu sous les noms O-UNC-066, CL-CRI-1147 et Pink mène depuis avril une campagne de vishing contre des organisations de plusieurs secteurs pour voler les identifiants Microsoft 365.

Les attaquants appellent les victimes pour les rediriger vers des pages de connexion Microsoft Entra ID contrefaites, en prétextant l'enregistrement d'une nouvelle clé d'accès (passkey). Le kit de phishing utilisé est contrôlé en temps réel par l'opérateur, qui adapte les pages selon le type d'authentification multifacteur activé et parvient à enregistrer une clé d'accès malveillante dans le compte compromis.

Points d'attention

  • Le kit effectue des vérifications anti-analyse et s'appuie sur des domaines incorporant le mot « passkey » pour tromper les utilisateurs, misant sur leur manque de familiarité avec ce mode d'authentification.
  • La victime est invitée à sauvegarder une fausse clé de récupération (phrases BIP-39 contrôlées par l'attaquant), une probable diversion pendant l'enregistrement de la passkey malveillante.
  • À chaque enregistrement de passkey, Microsoft envoie un courriel de notification légitime : un tel message inattendu, portant un nom anodin choisi par l'attaquant, est un signal d'alerte à ne pas ignorer.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere