Un chercheur anonyme dévoile des failles zero-day dans 15 logiciels open source
Un chercheur opérant sous le pseudonyme « bikini » a publié sur GitHub un dépôt nommé « Exploitarium », contenant des codes d’exploitation pour des failles zero-day affectant 15 logiciels open source. Cette publication a été faite sans préavis aux éditeurs concernés, une démarche qualifiée de divulgation sauvage et irresponsable. Parmi les logiciels touchés figurent libssh2, Splunk, RustDesk, 7-Zip, VLC, AnyDesk, OpenVPN, c-ares, Gitea et Floci.
Le dépôt, désormais retiré, mentionnait qu’aucune des vulnérabilités n’avait été signalée au moment de la publication. Le chercheur encourageait même les utilisateurs à se signaler comme découvreurs de ces failles. Ce comportement rappelle des actions antérieures d’autres chercheurs, tels que « Nightmare Eclipse », qui avait également publié des failles sans en avertir les éditeurs.
Ethan Andrews, analyste chez Federal Signal, suggère que le chercheur a pu recourir à un modèle avancé pour automatiser la découverte de vulnérabilités, une pratique qui s’inscrit dans une tendance d’augmentation des vulnérabilités provoquée par l’usage de l’intelligence artificielle dans la recherche de failles.
Deux des vulnérabilités révélées, celles affectant libssh2 et Gitea, sont déjà exploitées activement. La première, identifiée comme CVE-2026-55200, permet l’exécution de code à distance via des paquets SSH malveillants. La seconde, CVE-2026-20896, concerne un contournement d’authentification dans Gitea, permettant à un attaquant non authentifié de prendre le contrôle de comptes utilisateurs. Des correctifs pour ces failles sont en cours de développement.
Cette situation soulève des questions sur la divulgation responsable des vulnérabilités. Lorsque des chercheurs publient des preuves de concept sans en informer les éditeurs, cela peut donner un avantage aux attaquants, surtout en l’absence de correctifs. Ce type de divulgation contraste avec les pratiques de divulgation coordonnée, qui laissent généralement aux éditeurs le temps nécessaire pour corriger les failles avant leur publication.
En résumé, cette publication par un chercheur anonyme soulève des préoccupations quant à la sécurité des logiciels open source et met en lumière les défis liés à la divulgation des vulnérabilités dans un environnement de plus en plus automatisé.
Source : IT-Connect
