CyberVeille.ch1h ago

📢 Exploitation active de CVE-2025-53521 : F5 BIG-IP APM reclassifié en RCE critique
📝 ## 🔍 Contexte

Source : BleepingComputer, publié le 30 mars 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-30-exploitation-active-de-cve-2025-53521-f5-big-ip-apm-reclassifie-en-rce-critique/
🌐 source : https://www.bleepingcomputer.com/news/security/hackers-now-exploit-critical-f5-big-ip-flaw-in-attacks-patch-now/
#CISA_KEV #CVE_2025_53521 #Cyberveille

Exploitation active de CVE-2025-53521 : F5 BIG-IP APM reclassifié en RCE critique

🔍 Contexte Source : BleepingComputer, publié le 30 mars 2026. F5 Networks a mis à jour son advisory pour reclassifier CVE-2025-53521, initialement catégorisée comme une vulnérabilité de déni de service (DoS), en exécution de code à distance (RCE) de sévérité critique, suite à de nouvelles informations obtenues en mars 2026. 🎯 Vulnérabilité et impact Produit affecté : F5 BIG-IP APM (Access Policy Manager) CVE : CVE-2025-53521 Type : Remote Code Execution (RCE) sans authentification préalable Condition d’exploitation : BIG-IP APM avec des politiques d’accès configurées sur un serveur virtuel Impact observé : déploiement de webshells sur les équipements vulnérables non patchés Exposition : Shadowserver recense plus de 240 000 instances BIG-IP exposées sur Internet ⚠️ Exploitation active F5 confirme que la vulnérabilité est activement exploitée dans la nature. Des indicateurs de compromission (IOCs) ont été publiés par F5. La CISA a ajouté CVE-2025-53521 à sa liste des vulnérabilités activement exploitées et a ordonné aux agences fédérales américaines de sécuriser leurs systèmes BIG-IP APM avant le 30 mars 2026 à minuit.

CyberVeille
ZEN SecDB2d ago

🚨 [CISA-2026:0327] CISA Adds One Known Exploited Vulnerability to Catalog (https://secdb.nttzen.cloud/security-advisory/detail/CISA-2026:0327)

CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types of vulnerabilities are a frequent attack vector for malicious cyber actors and pose significant risk to the federal enterprise.

⚠️ CVE-2025-53521 (https://secdb.nttzen.cloud/cve/detail/CVE-2025-53521)
- Name: F5 BIG-IP Unspecified Vulnerability
- Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
- Known To Be Used in Ransomware Campaigns? Unknown
- Vendor: F5
- Product: BIG-IP
- Notes: Please adhere to F5’s guidelines to assess exposure and mitigate risks. Check for signs of potential compromise on all internet accessible F5 products affected by this vulnerability. For more information please see: https://my.f5.com/manage/s/article/K000156741 ; https://my.f5.com/manage/s/article/K000160486 ; https://my.f5.com/manage/s/article/K11438344 ; https://nvd.nist.gov/vuln/detail/CVE-2025-53521

#SecDB #InfoSec #CVE #CISA_KEV #cisa_20260327 #cisa20260327 #cve_2025_53521 #cve202553521

[CISA-2026:0327] CISA Adds One Known Exploited Vulnerability to Catalog - Advisory | ZEN SecDB Portal

CISA-2026:0327 - CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types...

ZEN SecDB Portal
ZEN SecDB3d ago

🚨 [CISA-2026:0326] CISA Adds One Known Exploited Vulnerability to Catalog (https://secdb.nttzen.cloud/security-advisory/detail/CISA-2026:0326)

CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types of vulnerabilities are a frequent attack vector for malicious cyber actors and pose significant risk to the federal enterprise.

⚠️ CVE-2026-33634 (https://secdb.nttzen.cloud/cve/detail/CVE-2026-33634)
- Name: Aquasecurity Trivy Embedded Malicious Code Vulnerability
- Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
- Known To Be Used in Ransomware Campaigns? Unknown
- Vendor: Aquasecurity
- Product: Trivy
- Notes: This vulnerability involves a supply‑chain compromise in a product that may be used across multiple products and environments. Additional vendor‑provided guidance must be followed to ensure full remediation. For more information, please see: https://github.com/advisories/GHSA-69fq-xp46-6x23 ; https://nvd.nist.gov/vuln/detail/CVE-2026-33634

#SecDB #InfoSec #CVE #CISA_KEV #cisa_20260326 #cisa20260326 #cve_2026_33634 #cve202633634

[CISA-2026:0326] CISA Adds One Known Exploited Vulnerability to Catalog - Advisory | ZEN SecDB Portal

CISA-2026:0326 - CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types...

ZEN SecDB Portal
ZEN SecDBFeb 20

🚨 [CISA-2026:0218] CISA Adds 2 Known Exploited Vulnerabilities to Catalog (https://secdb.nttzen.cloud/security-advisory/detail/CISA-2026:0218)

CISA has added 2 new vulnerabilities to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types of vulnerabilities are a frequent attack vector for malicious cyber actors and pose significant risk to the federal enterprise.

⚠️ CVE-2021-22175 (https://secdb.nttzen.cloud/cve/detail/CVE-2021-22175)
- Name: GitLab Server-Side Request Forgery (SSRF) Vulnerability
- Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
- Known To Be Used in Ransomware Campaigns? Unknown
- Vendor: GitLab
- Product: GitLab
- Notes: https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22175.json ; https://nvd.nist.gov/vuln/detail/CVE-2021-22175

⚠️ CVE-2026-22769 (https://secdb.nttzen.cloud/cve/detail/CVE-2026-22769)
- Name: Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials Vulnerability
- Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
- Known To Be Used in Ransomware Campaigns? Unknown
- Vendor: Dell
- Product: RecoverPoint for Virtual Machines (RP4VMs)
- Notes: https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079 ; https://www.dell.com/support/kbdoc/en-us/000426742/recoverpoint-for-vms-apply-the-remediation-script-for-dsa ; https://cloud.google.com/blog/topics/threat-intelligence/unc6201-exploiting-dell-recoverpoint-zero-day ; https://nvd.nist.gov/vuln/detail/CVE-2026-22769

#SecDB #InfoSec #CVE #CISA_KEV #cisa_20260218 #cisa20260218 #cve_2021_22175 #cve_2026_22769 #cve202122175 #cve202622769

[CISA-2026:0218] CISA Adds 2 Known Exploited Vulnerabilities to Catalog - Advisory | ZEN SecDB Portal

CISA-2026:0218 - CISA has added 2 new vulnerabilities to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types...

ZEN SecDB Portal
CyberVeille.chFeb 16
📢 Faille critique CVE-2026-1731 dans BeyondTrust exploitée pour prendre le contrôle d’Active Directory
📝 GBHackers Security rapporte qu’une campagne d’attaque exploite la vulnérabilité critique **CVE-2026-1...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-16-faille-critique-cve-2026-1731-dans-beyondtrust-exploitee-pour-prendre-le-controle-dactive-directory/
🌐 source : https://gbhackers.com/attackers-exploit-critical-beyondtrust-flaw/
#BeyondTrust #CISA_KEV #Cyberveille
Faille critique CVE-2026-1731 dans BeyondTrust exploitée pour prendre le contrôle d’Active Directory

GBHackers Security rapporte qu’une campagne d’attaque exploite la vulnérabilité critique CVE-2026-1731 affectant des déploiements auto-hébergés de BeyondTrust Remote Support et Privileged Remote Access. La faille autorise des attaquants non authentifiés à réaliser une injection de commandes système, conduisant à une exécution de code à distance (RCE). Les produits concernés sont explicitement les instances auto-hébergées de BeyondTrust Remote Support et de Privileged Remote Access. ⚠️ L’impact mis en avant est majeur, les attaquants pouvant prendre un contrôle complet d’Active Directory, ce qui élargit drastiquement leur surface d’action au sein des environnements ciblés.

CyberVeille
CyberVeille.chJan 30
📢 Plus de 6 000 serveurs SmarterMail exposés à une faille critique d’authentification (CVE-2026-23760)
📝 Selon Security Affairs, la Shadowserver Fo...
📖 cyberveille : https://cyberveille.ch/posts/2026-01-29-plus-de-6-000-serveurs-smartermail-exposes-a-une-faille-critique-dauthentification-cve-2026-23760/
🌐 source : https://securityaffairs.com/187394/hacking/shadowserver-finds-6000-likely-vulnerable-smartermail-servers-exposed-online.html
#CISA_KEV #CVE_2026_23760 #Cyberveille
Plus de 6 000 serveurs SmarterMail exposés à une faille critique d’authentification (CVE-2026-23760)

Selon Security Affairs, la Shadowserver Foundation a identifié plus de 6 000 serveurs SmarterMail exposés en ligne et probablement vulnérables à la faille critique CVE-2026-23760, tandis que CISA l’a intégrée à son catalogue KEV, confirmant des tentatives d’exploitation en cours. • La vulnérabilité CVE-2026-23760 concerne les versions de SmarterTools SmarterMail antérieures au build 9511 et réside dans l’API de réinitialisation de mot de passe. L’endpoint « force-reset-password » accepte des requêtes anonymes et ne vérifie ni l’ancien mot de passe ni un jeton de réinitialisation lors de la réinitialisation des comptes administrateurs. Cette faiblesse entraîne une bypass d’authentification permettant la compromission totale de l’instance SmarterMail.

CyberVeille
CyberVeille.chJan 2
📢 CISA KEV 2025: +245 failles ajoutées (total 1 484), dont 24 exploitées par des rançongiciels
📝 Source et contexte: Selon Cyble, le catalogue Known Exploited Vulnerabilities (KEV) de la CISA a connu en 2025 une accélérati...
📖 cyberveille : https://cyberveille.ch/posts/2026-01-02-cisa-kev-2025-245-failles-ajoutees-total-1-484-dont-24-exploitees-par-des-rancongiciels/
🌐 source : https://cyble.com/blog/cisa-kev-2025-exploited-vulnerabilities-growth/
#CISA_KEV #CVE #Cyberveille
CISA KEV 2025: +245 failles ajoutées (total 1 484), dont 24 exploitées par des rançongiciels

Source et contexte: Selon Cyble, le catalogue Known Exploited Vulnerabilities (KEV) de la CISA a connu en 2025 une accélération des ajouts, avec 245 nouvelles vulnérabilités, portant le total à 1 484, et une hausse des cas liés aux rançongiciels. 📈 Faits marquants 2025 245 vulnérabilités ajoutées (contre 185 en 2024 et 187 en 2023), soit +30% par rapport à la tendance 2023–2024, pour un total de 1 484 (+~20% sur l’année). 1 retrait: CVE-2025-6264 (Velociraptor Incorrect Default Permissions) pour insuffisance de preuves d’exploitation. 94 vulnérabilités plus anciennes (de 2024 et antérieures) ajoutées en 2025, soit +34% vs 2024; la plus ancienne ajoutée en 2025 est CVE-2007-0671 (Microsoft Office Excel RCE). La plus ancienne du catalogue reste CVE-2002-0367 (élévation de privilèges Windows NT/2000 smss.exe) utilisée dans des attaques par rançongiciels. Tendance récente: nouvelles vulnérabilités en forte hausse en fin d’année, pouvant se prolonger en 2026. 🚨 Vulnérabilités exploitées par des groupes de rançongiciels (2025)

CyberVeille
CyberVeille.chNov 26
📢 CISA ajoute la faille RCE pré-auth d’Oracle Identity Manager (CVE-2025-61757) à la base KEV
📝 Selon The Cyber Express, la CISA a ajouté CVE-2025-61757 à sa base Known Exploited Vulnerabilities (KEV) aprè...
📖 cyberveille : https://cyberveille.ch/posts/2025-11-25-cisa-ajoute-la-faille-rce-pre-auth-doracle-identity-manager-cve-2025-61757-a-la-base-kev/
🌐 source : https://thecyberexpress.com/cisa-kev-oracle-identity-manager-vulnerability/
#CISA_KEV #CVE_2025_61757 #Cyberveille
CISA ajoute la faille RCE pré-auth d’Oracle Identity Manager (CVE-2025-61757) à la base KEV

Selon The Cyber Express, la CISA a ajouté CVE-2025-61757 à sa base Known Exploited Vulnerabilities (KEV) après que le SANS Internet Storm Center a observé des tentatives d’exploitation, tandis que des recherches de Searchlight Cyber détaillent le mécanisme et la facilité d’exploitation de la faille. • La vulnérabilité CVE-2025-61757 (score 9,8, « Missing Authentication for Critical Function ») affecte le composant REST WebServices d’Oracle Identity Manager au sein d’Oracle Fusion Middleware versions 12.2.1.4.0 et 14.1.2.1.0. Elle permet une exécution de code à distance pré-authentification (RCE) via HTTP, pouvant mener à la prise de contrôle d’Identity Manager. Oracle a corrigé la faille dans sa mise à jour CPU d’octobre. ⚠️

CyberVeille
ZEN SecDBNov 10

🚨 [CISA-2025:1110] CISA Adds One Known Exploited Vulnerability to Catalog (https://secdb.nttzen.cloud/security-advisory/detail/CISA-2025:1110)

CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types of vulnerabilities are a frequent attack vector for malicious cyber actors and pose significant risk to the federal enterprise.

⚠️ CVE-2025-21042 (https://secdb.nttzen.cloud/cve/detail/CVE-2025-21042)
- Name: Samsung Mobile Devices Out-of-Bounds Write Vulnerability
- Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
- Known To Be Used in Ransomware Campaigns? Unknown
- Vendor: Samsung
- Product: Mobile Devices
- Notes: https://security.samsungmobile.com/securityUpdate.smsb?year=2025&month=04 ; https://nvd.nist.gov/vuln/detail/CVE-2025-21042

#SecDB #InfoSec #CVE #CISA_KEV #cisa_20251110 #cisa20251110 #cve_2025_21042 #cve202521042

[CISA-2025:1110] CISA Adds One Known Exploited Vulnerability to Catalog - Advisory | ZEN SecDB Portal

CISA-2025:1110 - CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation. These types...

ZEN SecDB Portal
CyberVeille.chOct 30
📢 CVE-2025-59287: WSUS exploité pour RCE non authentifiée, C2 sur workers.dev et déploiement de Skuld Stealer
📝 Selon Darktrace, l’exploitat...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-30-cve-2025-59287-wsus-exploite-pour-rce-non-authentifiee-c2-sur-workers-dev-et-deploiement-de-skuld-stealer/
🌐 source : https://www.darktrace.com/blog/wsus-exploited-darktraces-analysis-of-post-exploitation-activities-related-to-cve-2025-59287
#CISA_KEV #CVE_2025_59287 #Cyberveille
CVE-2025-59287: WSUS exploité pour RCE non authentifiée, C2 sur workers.dev et déploiement de Skuld Stealer

Selon Darktrace, l’exploitation de la vulnérabilité critique CVE-2025-59287 affectant WSUS (Windows Server Update Services) s’est intensifiée après une correction initiale insuffisante par Microsoft suivie d’un correctif hors bande, avec une inscription par la CISA au catalogue KEV le 24 octobre. Contexte et impact 🚨: La vulnérabilité permet une exécution de code à distance non authentifiée sur des serveurs WSUS exposés à Internet. Darktrace fait état de multiples cas aux États‑Unis, touchant les secteurs information/communication et éducation. L’exploitation a commencé immédiatement après les correctifs, soulignant l’attrait de la faille pour les attaquants.

CyberVeille