Corentin Bonneton

New React CVE just dropped 😆 DOS vulnerability in Server Functions Patched versions already out: - 19.0.5 - 19.1.6 - 19.2.5

Introducing Project Glasswing: an urgent initiative to help secure the world’s most critical software. It’s powered by our newest frontier model, Claude Mythos Preview, which can find software vulnerabilities better than all but the most skilled humans. anthropic.com/glasswing

🚨 A high-vulnerability CVE (CVE-2026-4342) has been identified in ingress-nginx. This vulnerability enables configuration injection and potential code execution on all versions below v1.13.9, v1.14.5, and v1.15.1. As ingress-nginx is now EOL (End of Life), users are strongly encouraged to upgrade and migrate immediately. Details: github.com/kubernetes/kub…

🚨🔴 CYBERALERT CRITIQUE | Axios, une des plus grosses librairies JS attaquée. Une alerte critique sur Axios secoue l'industrie IT. Axios, c'est la librairie HTTP la plus utilisée en JavaScript entre 100M et 300M de téléchargements/semaine. Si vous êtes un peu geek, technique, codeur du dimanche ou développeur averti vous avez déjà certainement dû faire un `npm install axios` depuis votre terminal ! Ce matin -enfin la nuit dernière- entre 00h21 et 01h00 UTC, un attaquant a compris le package ! 👉🏾Il a pris le contrôle du compte npm du maintainer principal, jasonsaayman 👉🏾 Il a changé son email et l'a fait pointer vers une adresse ProtonMail 👉🏾 Il a ensuite publié 2 versions : axios@1.14.1 et axios@0.30.4 en 39 minutes... L'attaque est bien pensée ! Elle ne touche pas le code axios mais concerne une dépendance fantôme injectée : `plain-crypto-js@4.2.1` Un package qui n'existait pas avant hier... et qui se fait passer pour le package légitime `crypto-js` dont le seul rôle est d'installer un RAT ! NOTA: `plain-crypto-js@4.2.0` (version propre) avait été publiée 18h avant l'attaque pour construire une crédibilité... C'est le détail le plus frappant de toute cette affaire... Le hack est très propre, mais ô combien dévastateur. Le payload est activé via un dropper `setup.js` qui touche du cross-platform : 👉🏾 macOS → /Library/Caches/com.apple.act.mond 👉🏾 Windows → %PROGRAMDATA%\wt.exe 👉🏾 Linux → /tmp/ld.py Le RAT contacte ensuite un C2 -sfrclak[.]com:8000- après 1s à peine axios est installé. La cible compromise, le dropper `setup.js` se supprime, ne laissant aucune trace visible... La kill chain attack était très très vraisemblablement préméditée ! On est pas sur un attaque fortuite ! Le niveau de préparation évoque un acteur organisé, pas un cybercriminel lambda. Il y a quelques IoCs pour savoir si vous êtes touché... Vérifiez maintenant sur votre système : 👉🏾 `npm list axios | grep -E "1\.14\.1|0\.30\.4"` 👉🏾 `grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4"` 👉🏾 `ls node_modules/plain-crypto-js && echo "GAME OVER"` Il y a d'autres artefacts aussi à chercher. Si vous êtes compromis : 👉🏾 Isolez la machine 👉🏾 Ajoutez --ignore-scripts dans vos pipelines CI/CD 👉🏾 Auditez tous vos builds du 31/03 entre 00h21 et 03h29 UTC 👉🏾 Bloquez sfrclak[.]com en egress 👉🏾 Rotation COMPLÈTE de tous vos secrets : npm tokens, clés cloud, SSH, secrets CI/CD NOTA : Les versions sont maintenant retirées. NPM a supprimé les versions malveillantes à 03h29 UTC. On a certainement frôlé le pire... jusqu'à la prochaine fois !

Une supplychain attack compromet des outils open source populaires. Le code malveillant se diffuse automatiquement entre systèmes et déploie une backdoor persistante. Particularité : il inclut aussi un module “wiper” qui efface les données sur des machines situées en Iran. Le groupe à l’origine, TeamPCP, exploite des environnements cloud mal sécurisés et détourne des outils de développement pour étendre rapidement l’infection à grande échelle. arstechnica.com/security/2026/…

🛑 Malicious LiteLLM versions 1.82.7–1.82.8 deploy credential theft, Kubernetes lateral movement, and a persistent backdoor. Linked to the Trivy CI/CD compromise, the payload runs on import or via .pth at Python startup, spreads across nodes, and installs a systemd service. 🔗 Full story → thehackernews.com/2026/03/teampc…

ConfigMap/Secret Reloader — Automatically add reload data from ConfigMap/Secret to deployments by @navratan_gupta medium.com/linux-shots/co…

CSS can kill you

@adofou Et vu l’état des distributeurs par endroit ça donne pas envie …

C'est surtout devenu hors de prix 🙄

🚨‼️ CRITICAL: Ubiquiti UniFi Network Application vulnerabilities were just disclosed CVE-2026-22557 CVSS 10.0 Remote path traversal vulnerability allowing an attacker to access and manipulate files, leading to account takeover. No authentication required. CVE-2026-22558 — CVSS 7.7 Authenticated NoSQL Injection allowing privilege escalation.

⚠️ Security release pre-alert: We will release new versions of 20, 22, 24, 25 release lines on or shortly after 24th March, 2026 in order to address: * 2 high severity issues * 5 medium severity issues * 2 low severity issues nodejs.org/en/blog/vulner…

@hgomez Non non juste beaucoup de trafic mal anticipé

@Titin_dev DDOS ?

Élections municipal le site de Annecy & ledauphine HS, on a la région qu'on mérite hein 🤣

RFC 9460 – SVCB and HTTPS DNS records datatracker.ietf.org/doc/html/rfc94…

Je me faisais cette réflexion : En startup, la dette technique est souvent volontaire : il faut aller vite pour survivre. En scale-up, elle devient dangereuse : la croissance repose désormais dessus. Et je constate que les principaux conflits dans une équipe technique sont liés au fait que les personnes ont des visions diamétralement opposées car biaisées. Cette vision reposent sur une bulle d'expérience pas toujours transposable ailleurs. Par exemple, une personne a parfaitement réussi dans la bulle startup dans laquelle elle a excellé dans le fait de délivrer vite. Puis, elle rejoint une autre bulle, la scale-up, qui a un contexte, des contraintes et des enjeux différents. La personne nouvellement recrutée, qui a donc la vision de son ancienne bulle de startup, cherche à transposer dans la bulle scale-up ce qu'elle a fait en oubliant complètement qu'il faut changer sa grille de lecture. Arrivent donc des conflits de culture technique, de manière de développer car des personnes sont incapables de passer d'un contexte à un autre. Ainsi, plus vous avez une expérience dans des environnements variés, plus vous êtes capables de vous libérer de vos biais et de vos bulles car l'un des problèmes majeurs dans la tech, c’est l’incapacité à changer de cadre mental. J'ai pu voir à quel point les meilleures équipes ne sont pas celles qui ont une culture unique forte, mais celles qui savent ajuster leur culture au stade dans lequel elles se trouvent. Et aussi, selon moi, la maturité et l'expertise, ce n’est pas d’avoir raison partout, c’est de comprendre quand nos certitudes ne s’appliquent plus. Voilà voilà des bisous 😘

Database for terabytes of logs github.com/VictoriaMetric…

And the circle is complete. MinIO is now archived. 1️⃣ MinIO deprecated the UI. 2️⃣ They stopped providing images and pre-built binaries, going source code only. 3️⃣ The documentation “disappeared”, available only to enterprise users. 4️⃣ MinIO started to only receive security updates and bug fixes - no new features. 5️⃣ MinIO gets archived and the CE version is no longer maintained.

@ReptiGo Il manque pas le contours du module sur la 1er photo 👀

Un peu de contrôle d'accès pour la fin de la semaine ? C'est parti avec le lecteur + clavier a code pour l'entrée en salle IT plus son lecteur out et préparation des câbles ! #Datacenter #RG2 #Association #Access #Unifi #IT

#haproxy it-connect.fr/audit-securite…

C'est là que tu vois que t'es pas dans un établissement reçevant du public "standard" 🤣 GG @TelehouseFR, je ne l'avais pas encore vu jusqu'à hier aprem 👍