Aller au contenu principal
Rooting/studio
Recherche de vulnérabilités

10 CVE publiées — 5 HIGH, 3 MODERATE

Pas de copie marketing : voici la liste exhaustive des vulnérabilités que j'ai découvertes, divulguées de manière coordonnée et publiées avec un identifiant CVE officiel. Chaque entrée renvoie au GitHub Security Advisory et au CVE Record d'origine.

CVE publiées
10
HIGH
5
MODERATE
3
Dernière
29 avr. 2026
Réserver un auditRecherche de vulnérabilités

Ce que ça prouve

Trouver une CVE dans un framework open-source utilisé en production demande la même discipline que casser une app SaaS : lecture de code, hypothèses d'attaque, PoC reproductible, rédaction d'advisory. C'est exactement le travail livré sur un audit.

Méthodologie

Toutes ces failles ont été trouvées par lecture de code orientée modèle de menace, pas par fuzzing aveugle. C'est la même approche que je déroule sur les applications de mes clients.

Disclosure responsable

Chaque vulnérabilité a été reportée en privé au mainteneur, embargo respecté jusqu'au patch (3.18.1), puis publication coordonnée avec attribution CVE par GitHub.

Le portefeuille

Trié par CVSS décroissant. Cliquez chaque entrée pour ouvrir l'advisory officiel.

Public · Vérifiable
HIGH · 8.8CVE-2026-42550·CWE-89· 29 avr. 2026

SQL Injection via identifiants non validés dans SimplePdo

Privilege escalation par injection SQL via les clés du tableau $data passées à SimplePdo::insert/update/delete.

Produit affecté
flightphp/core
Versions affectées : < 3.18.1·Patch : 3.18.1
Vecteur
Network · privilèges : Low
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Impact attaquant
  • Création silencieuse d'un compte administrateur sur tout endpoint de signup forwardant les données utilisateur.
  • Écriture arbitraire de colonnes via les clés passées à update().
  • Destruction et exfiltration de données via DELETE FROM users WHERE 1=1, UNION-based exfil, etc.
GitHub Advisory CVE Record Commit du patch
HIGH · 8.5CVE-2025-48091·CWE-89· 22 oct. 2025

SQL Injection authentifiée dans le plugin WordPress AnyComment

Injection SQL exploitable par tout utilisateur authentifié dans le plugin WordPress AnyComment, exécutant des commandes SQL arbitraires.

Produit affecté
WordPress plugin AnyComment
Versions affectées : ≤ 0.3.6·Patch :
Vecteur
Network · privilèges : Low
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:L
Impact attaquant
  • Lecture, modification ou suppression arbitraire des données du site WordPress par un utilisateur peu privilégié.
  • Extraction des credentials hashés des utilisateurs et secrets stockés en base.
  • Pivot vers une compromission complète selon les configurations connectées.
GitHub Advisory CVE Record
HIGH · 7.5CVE-2026-42551·CWE-436· 29 avr. 2026

HTTP method override par défaut : CSRF escalation et bypass de middleware

Une requête GET peut être silencieusement promue en DELETE/PUT via X-HTTP-Method-Override ou ?_method, contournant la SOP.

Produit affecté
flightphp/core
Versions affectées : < 3.18.1·Patch : 3.18.1
Vecteur
Network · privilèges : None
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Impact attaquant
  • CSRF GET → DELETE / PUT triggerable par une simple balise <img> sur une page tierce, sans JavaScript.
  • Bypass total des middlewares d'authentification, CSRF token ou rate-limiting gated sur POST/DELETE.
  • Cache poisoning entre CDN et origine : le CDN cache un GET pendant que l'origine exécute un DELETE.
GitHub Advisory CVE Record Commit du patch
HIGH · 7.5CVE-2026-42552·CWE-209· 29 avr. 2026

Divulgation d'informations sensibles via le handler d'erreur par défaut

Le handler 500 par défaut écrit message, code et stack trace complète (chemins absolus, secrets) dans la réponse HTTP, sans gating debug.

Produit affecté
flightphp/core
Versions affectées : < 3.18.1·Patch : 3.18.1
Vecteur
Network · privilèges : None
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Impact attaquant
  • Disclosure de chemins absolus du système de fichiers — arme ensuite une LFI / path-traversal.
  • Disclosure de secrets (creds DB, tokens API) lorsqu'ils sont interpolés dans les exceptions.
  • Énumération des packages vendor installés et structure interne de l'application.
GitHub Advisory CVE Record Commit du patch
HIGH · 7.5CVE-2026-42548·CWE-79· 29 avr. 2026

Reflected XSS via callback JSONP non validé dans Flight::jsonp()

Le paramètre ?jsonp= est concaténé directement dans une réponse application/javascript sans validation d'identifiant JS, permettant une exécution arbitraire dans l'origine.

Produit affecté
flightphp/core
Versions affectées : < 3.18.1·Patch : 3.18.1
Vecteur
Network · privilèges : None
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Impact attaquant
  • Reflected XSS sur toute application appelant Flight::jsonp().
  • Vol de cookies / hijack de session lorsque les endpoints JSONP sont référencés depuis des pages same-origin.
  • Exfiltration de réponses API authentifiées.
GitHub Advisory CVE Record Commit du patch
MODERATE · 6.5CVE-2025-13835·CWE-79· 01 déc. 2025

Stored XSS dans le plugin WordPress Arconix Shortcodes

XSS stockée authentifiée dans Arconix Shortcodes (≤ 2.1.20), permettant l'injection de scripts persistants dans les pages générées.

Produit affecté
WordPress plugin Arconix Shortcodes
Versions affectées : ≤ 2.1.20·Patch :
Vecteur
Network · privilèges : Low
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
Impact attaquant
  • Vol de session administrateur et escalation vers compromission complète du site.
  • Défacement persistant des pages où le shortcode malveillant est intégré.
  • Redirection de visiteurs vers des sites malveillants (phishing, drive-by download).
GitHub Advisory CVE Record
MODERATE · 6.5CVE-2025-54746·CWE-79· 14 août 2025

Stored XSS dans le plugin WordPress Shortcode Redirect

XSS stockée authentifiée dans Shortcode Redirect (≤ 1.0.02) via shortcodes manipulés, exécutant du JavaScript dans le navigateur des admins/visiteurs.

Produit affecté
WordPress plugin Shortcode Redirect
Versions affectées : ≤ 1.0.02·Patch :
Vecteur
Network · privilèges : Low
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
Impact attaquant
  • Vol de cookies de session et reprise de comptes administrateurs.
  • Redirection malveillante des utilisateurs depuis le site légitime.
  • Persistance de la charge JS au sein du contenu du site.
GitHub Advisory CVE Record
MODERATE · 4.4CVE-2026-42549·CWE-22· 29 avr. 2026

Path traversal dans la commande CLI make:controller

make:controller appelle mkdir(recursive: true) sur un chemin construit à partir du nom utilisateur avant la validation, créant des répertoires arbitraires hors du projet via ../.

Produit affecté
flightphp/core
Versions affectées : < 3.18.1·Patch : 3.18.1
Vecteur
Local · privilèges : Low
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Impact attaquant
  • Création arbitraire de répertoires hors du projet, exécutable par tout acteur local pouvant invoquer la CLI Flight (poste dev, agent CI partagé, conteneur compromis).
  • Amorce d'exploitation chaînée LFI : créer un répertoire où un attaquant pourra ensuite déposer un .php inclus via une autre faille.
  • Sur Windows, le séparateur \ ouvre une surface d'attaque additionnelle.
GitHub Advisory CVE Record Commit du patch
LOW · 2.9CVE-2025-45525Disputée·CWE-476· 17 juin 2025

NULL pointer dereference dans la bibliothèque microlight

Déréférencement d'un pointeur null lors du traitement de valeurs CSS non standard dans microlight (0.0.7), faute de validation du résultat regex.

Produit affecté
microlight (JS lib)
Versions affectées : 0.0.7·Patch :
Vecteur
Local · privilèges : None
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Impact attaquant
  • Crash localisé du runtime sur la page intégrant la bibliothèque.
  • Impact pratique limité — CVE marquée 'disputed' par les mainteneurs.
GitHub Advisory CVE Record
LOW · 2.9CVE-2025-45526Disputée·CWE-770· 17 juin 2025

Allocation de ressources sans limite dans microlight

DoS local par consommation excessive CPU/mémoire dans microlight (0.0.7) lors du traitement de contenus textuels volumineux.

Produit affecté
microlight (JS lib)
Versions affectées : 0.0.7·Patch :
Vecteur
Local · privilèges : None
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Impact attaquant
  • Surconsommation CPU/mémoire sur le navigateur de la victime exposée à un contenu volumineux.
  • Impact pratique limité — CVE marquée 'disputed' par les mainteneurs.
GitHub Advisory CVE Record

La même rigueur, sur votre application web

Audit démarré sous 10 jours, rapport actionnable, re-tests inclus. Discutons de votre périmètre.

Voir l'offre pentest Discuter 20 min