Deux vulnérabilités importantes ont été identifiées dans le système de réservation en ligne de **SpiceJet**, pouvant potentiellement affecter la vie privée des passagers. Ces vulnérabilités, détaillées ci-dessous, pourraient permettre à des attaquants d'accéder à des informations sensibles sans autorisation appropriée. ### Résumé des vulnérabilités Selon un rapport de la CISA, l'exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de divulguer des informations sensibles. Les versions suivantes du système de réservation en ligne de SpiceJet sont affectées : * Système de réservation en ligne vers : tout/* (**CVE-2026-6375**, **CVE-2026-6376**) | CVSS | Fabricant | Équipement | Vulnérabilités | | :----- | :-------- | :---------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | v3 7.5 | SpiceJet | Système de réservation en ligne SpiceJet | Contournement d'autorisation via une clé contrôlée par l'utilisateur, absence d'authentification pour une fonction critique | * **Secteurs d'infrastructure critique :** Systèmes de transport * **Pays/Régions de déploiement :** Monde entier * **Lieu du siège social de l'entreprise :** Inde ### CVE-2026-6375 : Contournement d'autorisation via une clé contrôlée par l'utilisateur Cette vulnérabilité permet aux utilisateurs non authentifiés d'interroger les dossiers de nom de passagers (PNR) sans contrôles d'accès. Étant donné que les identifiants PNR suivent un schéma prévisible, un attaquant pourrait énumérer systématiquement les enregistrements valides et obtenir les noms des passagers associés. Cette faille découle de l'absence de vérifications d'autorisation sur un point de terminaison destiné à l'accès aux profils authentifiés. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-6375) **Produits affectés :** * **Fabricant :** SpiceJet * **Version du produit :** Système de réservation en ligne SpiceJet : vers : tout/* * **Statut du produit :** connu_affecté * **CWE pertinent :** [CWE-639 Contournement d'autorisation via une clé contrôlée par l'utilisateur](https://cwe.mitre.org/data/definitions/639.html) ### CVE-2026-6376 : Absence d'authentification pour une fonction critique Cette faiblesse permet d'accéder aux détails complets de la réservation des passagers en utilisant uniquement un PNR et un nom de famille, sans aucun mécanisme d'authentification ou de vérification. Cela entraîne l'exposition de métadonnées personnelles, de voyage et de réservation étendues à tout utilisateur non authentifié capable d'obtenir ou de deviner ces informations de base. Le problème découle d'un contrôle d'accès inapproprié sur une fonction de récupération de données sensibles. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-6376) **Produits affectés :** * **Fabricant :** SpiceJet * **Version du produit :** Système de réservation en ligne SpiceJet : vers : tout/* * **Statut du produit :** connu_affecté * **CWE pertinent :** [CWE-306 Absence d'authentification pour une fonction critique](https://cwe.mitre.org/data/definitions/306.html) ### Remédiation La CISA recommande aux utilisateurs de prendre des mesures défensives pour minimiser le risque d'exploitation de ces vulnérabilités : * Minimiser l'exposition réseau de tous les appareils et/ou systèmes de contrôle, en s'assurant qu'ils ne sont pas accessibles depuis Internet. * Placer les réseaux de systèmes de contrôle et les appareils distants derrière des pare-feu et les isoler des réseaux d'entreprise. * Lorsque l'accès à distance est requis, utiliser des méthodes plus sécurisées, telles que les réseaux privés virtuels (VPN), en reconnaissant que les VPN peuvent avoir des vulnérabilités et doivent être mis à jour vers la version la plus récente disponible. Il faut également reconnaître que le VPN n'est aussi sûr que les appareils connectés. La CISA rappelle aux organisations d'effectuer une analyse d'impact et une évaluation des risques appropriées avant de déployer des mesures défensives. Les organisations observant une activité malveillante suspecte doivent suivre les procédures internes établies et signaler leurs conclusions à la CISA pour suivi et corrélation avec d'autres incidents. La CISA recommande également aux utilisateurs de prendre les mesures suivantes pour se protéger contre les attaques d'ingénierie sociale : * Ne cliquez pas sur les liens Web et n'ouvrez pas les pièces jointes dans les messages électroniques non sollicités. * Consultez la section Reconnaître et éviter les arnaques par e-mail pour plus d'informations sur la façon d'éviter les arnaques par e-mail. * Consultez la section Éviter l'ingénierie sociale et les attaques de phishing pour plus d'informations sur les attaques d'ingénierie sociale.