[Verse 1] Première brèche, CVE zéro-trente-neuf-neuf-neuf-neuf Le plugin jwt-auth trahit sa propre loi Certaines configurations laissent la porte grande ouverte Un attaquant glisse dedans, ton identité déserte CVSS neuf virgule un, authentication bypass total Il usurpe ton accès sans montrer son carnet natal Comme un faux badge plastifié sur un portail de verre Il passe, il sourit, il prend ce que tu croyais sacré sur terre [Chorus] Apache APISIX, attention danger Quatre CVE qui viennent tout chambouler Neuf virgule un, neuf virgule trois sur l'échelle du mal Patch ou péris, c'est brutal, c'est radical [Verse 2] Deuxième coup, CVE quarante-quatre zéro-huit-sept Le plugin openid-connect en configuration par défaut L'attaquant construit une identité factice, une fausse silhouette Il glisse dans le flux comme une anguille dans un égout Vérification insuffisante, les données mentent sans vergogne Le serveur croit voir l'ami mais c'est l'imposteur qui grogne Neuf virgule un encore, la même note cynique Ton système signe des contrats avec un nom fantastique [Chorus] Apache APISIX, attention danger Quatre CVE qui viennent tout chambouler Neuf virgule un, neuf virgule trois sur l'échelle du mal Patch ou péris, c'est brutal, c'est radical [Verse 3] Troisième fissure, CVE quarante-neuf deux-cent-trente Le plugin jwe-decrypt ne contrôle plus l'intégrité La valeur de vérification cryptographique se lamente Quelqu'un forge un jeton, l'accès lui est accordé Pendant ce temps quarante-neuf huit-cent-soixante-onze arrive en embuscade Le plugin cas-auth sous défaut subit le CSRF Un attaquant envoie sa victime dans sa propre arcade Elle clique, elle agit, elle signe sans réserve [Bridge] Quatre plugins compromis dans le même logiciel Spoofing, bypass, falsification, requête croisée APISIX en production mérite l'essentiel Des configurations durcies, jamais improvisées Neuf virgule trois pour le plus dangereux du lot Le CSRF qui manipule l'utilisateur comme un pantin Vérifie tes versions, consulte les bulletins en haut Avant que l'attaquant transforme ton réseau en butin [Chorus] Apache APISIX, attention danger Quatre CVE qui viennent tout chambouler Neuf virgule un, neuf virgule trois sur l'échelle du mal Patch ou péris, c'est brutal, c'est radical [Verse 4] La passerelle API, c'est le cœur de ton architecture Chaque plugin non patché devient une fracture Lis les notes de version, applique chaque correctif Ton équipe sécurité doit rester sur le vif Un défaut de configuration n'est jamais anodin Il ouvre les chemins que tu croyais bien gardés demain [Outro] Vingt-cinq juin, la leçon reste gravée dans le marbre Défaut de configuration, c'est le ver dans l'arbre Apache publie, le NVD confirme et documente Mets à jour tes plugins, que ta défense fermente [Chorus] Apache APISIX, attention danger Quatre CVE qui viennent tout chambouler Neuf virgule un, neuf virgule trois sur l'échelle du mal Patch ou péris, c'est brutal, c'est radical
← Vulnérabilités critiques (2 sur 3) — 25 juin 2026 | Cybersécurité — 25 juin 2026 →