Résumé
Le 2 octobre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans GNU Bash, une interface en ligne de commande qui permet d’interagir directement avec le système d’exploitation.
Référencée sous CVE-2014-6278, Cette vulnérabilité de type injection de commandes systèmes permet à un attaquant d’exécuter n’importe quelle commande sur un serveur ou un ordinateur, simplement en manipulant des variables d’environnement spécialement conçues.
Solutions
Il est recommandé de mettre à jour GNU Bash selon les instructions du fabricant ou de l’éditeur de votre système.
La faille est activement exploitée : Oui
Détails techniques
Score CVSS : 10
EPSS : 86.72%
Risques :
Exécution de code arbitraire à distance.
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- GNU Bash version 1.14.0 jusqu’à 4.3 inclue
Documentation
- Documentationhttp://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-027
- Nist Details CVEhttps://nvd.nist.gov/vuln/detail/cve-2014-6278
- CVE Detailshttps://www.cvedetails.com/cve/CVE-2014-6278/
- Reference CVEhttps://www.cve.org/CVERecord?id=CVE-2014-6278
- CWEhttps://www.cvedetails.com/cwe-details/78/Improper-Neutralization-of-Special-Elements-used-in-an-OS-Co.html