:quality(90)/p7i.vogel.de/wcms/1e/87/1e8722924319fba390a702acb7625ea1/0129222716v2.jpeg)
Publié le 16 février 2026 à 14h00. Une vulnérabilité critique, exploitable en un seul clic, a été découverte dans le logiciel de vidéosurveillance Idis ICM Viewer, ouvrant la porte à des attaques de phishing sophistiquées et à l’exécution de code malveillant sur les systèmes ciblés. Les utilisateurs sont invités à mettre à jour immédiatement vers la version 1.7.1.
Une faille de sécurité majeure affectant Idis ICM Viewer, le gestionnaire de cloud du fabricant sud-coréen Idis, permet à des attaquants d’exécuter du code à distance (RCE) sur les appareils des utilisateurs avec un simple clic. Cette vulnérabilité, référencée EUVD-2025-38035 / CVE-2025-12556 (score CVSS de 8,7, score EPSS de 0,11), concerne la version 1.6.0.10 du logiciel.
Selon les experts de Team82 de Claroty, qui ont découvert la faille, le problème réside dans la manière dont le visualiseur est démarré par le service local CWGService. Ce service communique via des connexions WebSocket avec le portail Web ICM et transmet des arguments de ligne de commande au démarrage du visualiseur. L’absence de validation de ces arguments permet aux attaquants d’injecter des URL ou des paramètres malveillants, qui, une fois cliqués par la victime, peuvent entraîner l’exécution de code sur le système hôte.
La vulnérabilité permet aux attaquants de contourner le bac à sable du navigateur et d’exécuter du code sur la machine hôte. Une attaque ciblée, par exemple via une campagne de phishing, pourrait permettre une compromission complète de l’appareil et servir de point de départ pour une propagation latérale au sein du réseau, affectant potentiellement d’autres caméras de surveillance.
L’agence américaine de cybersécurité CISA souligne l’urgence de mettre à jour les systèmes vers la version corrigée 1.7.1 afin de se prémunir contre cette menace.
*Note sur le score EPSS : ce système de notation de prédiction indique la probabilité en pourcentage qu’une vulnérabilité soit exploitée dans les 30 prochains jours. Le score correspondant peut évoluer dans le temps. Sauf indication contraire, nous nous référons au score EPSS à la date de publication de l’article.
(ID:50673121)