// docs / changelog
Journal des modifications
FixVibe mises à jour du moteur d'analyse : nouvelle couverture, améliorations de la sécurité et de la précision. Les entrées les plus récentes en premier.
2026-07-02
- CORRIGÉLegal-link false positives reduced. Privacy and terms links that are visible after client-side rendering now count correctly, so SPA footers are not reported as missing when users can see those links.
30 juin 2026
- NOUVEAULabel Studio CVE-2025-47783 reflected XSS check. Verified active scans now flag Label Studio upload-example responses when target-specific label_config evidence shows raw HTML metacharacter reflection, without executing JavaScript, using victim sessions, reading tokens, or storing project data.
- NOUVEAUAVideo CVE-2023-25313 / GHSA-pgvh-p3g4-86jw advisory. Repo scans flag affected wwbn/avideo Composer manifests and lockfiles below 12.4 with version-based evidence only; no AVideo login, video-link submission, video creation, request-delay checks, command execution, or runtime exploit claim.
- NOUVEAUGL.iNet GL-MT3000 CVE-2026-11451 advisory. Verified active scans flag GL.iNet GL-MT3000 firmware 4.4.5 as version-based advisory evidence only; no router authentication, FTP-setting changes, file writes, command input, or command-execution claim.
- AMÉLIORÉCouverture du redémarrage distant Schneider Modicon M221. Le contrôle passif existant du firmware Modicon M221 corrèle désormais les mêmes preuves solides de produit HTTP public et de version de firmware avec CVE-2018-7789 aux côtés de CVE-2018-7790, en signalant un contexte d’avis basé sur la version sans envoyer de sondes de redémarrage, interroger Modbus, rejouer l’authentification, téléverser des programmes PLC ni affirmer une confirmation d’exploitation.
- NOUVEAUMbed TLS CVE-2024-45159 repo advisory coverage. GitHub repo scans now flag source and build metadata for affected Mbed TLS 3.2.0 through 3.6.0 releases, reporting version-based advisory evidence without client-certificate probes, TLS handshake testing, or authentication-bypass confirmation.
- NOUVEAUOracle Java SE/GraalVM CVE-2022-21340 repo advisory coverage. GitHub repo scans now flag explicit Oracle Java SE or Oracle GraalVM Enterprise runtime metadata, reporting version-based advisory evidence without running Java, sandbox-code proof, denial-of-service traffic, or runtime exploit confirmation.
- NOUVEAUOpenSSL CMS CVE-2025-15467 advisory. GitHub repo scans now flag affected OpenSSL CMS release-line evidence and report branch-aware source/config evidence without crash, denial-of-service, or code-execution reproduction.
- NOUVEAUcodfish semantic-release GitHub Action compromise check. Repo scans can now flag workflow YAML references to codfish/semantic-release-action refs associated with the June 2026 compromise, reporting source/config evidence only. The check does not run GitHub Actions, read CI secrets, inspect runners, or claim credential theft.
- NOUVEAUSpring Data Commons property-path advisory coverage. GitHub repo scans now report Maven/Gradle dependency evidence for Spring Data Commons versions associated with CVE-2018-1274 / GHSA-5q8m-mqmx-pxp9. The finding stays version-based and does not run the app, probe Spring Data REST endpoints, send crafted property-path parameters, stress CPU or memory, or claim denial-of-service confirmation.
- NOUVEAUvm2 Promise species advisory coverage. GitHub repo scans now report npm manifest and lockfile evidence for vm2 versions associated with CVE-2026-47208 / GHSA-76w7-j9cq-rx2j. The finding stays version-based and does not run the app, execute sandbox-breakout proof-of-concept code, inspect live workers, or claim host command execution.
- NOUVEAUpyLoad /flashgot advisory coverage. GitHub repo scans now report Python manifest and lockfile evidence for pyload-ng versions associated with CVE-2024-47821 / GHSA-w7hq-f2pj-c53g. The finding stays version-based and does not run pyLoad, send /flashgot requests, change settings, download files, write script directories, or claim command execution.
- NOUVEAUSAP Cloud SDK for AI Python advisory check. GitHub repo scans now flag Python manifest and lockfile evidence for sap-ai-sdk-base versions affected by CVE-2023-25617 / GHSA-xxhh-59gh-6ffx as version-based advisory evidence, without running Python, connecting to SAP BusinessObjects, scheduling Program Objects, sending command-injection input, or claiming OS command execution.
- NOUVEAUGradio Windows/Python path traversal advisory check. GitHub repo scans now flag Gradio dependency evidence for CVE-2026-28414 / GHSA-39mp-8hj3-5c49 and raise confidence when repository configuration also points to Windows with Python 3.13+, without requesting Gradio file endpoints, sending traversal input, reading files, or claiming live arbitrary file read.
29 Jun 2026
- NOUVEAUMISP STIX import source advisory coverage. GitHub repo scans now report source evidence for CVE-2018-19908 in app/Model/Event.php when original STIX filenames flow into shell command construction. The check uses repository source evidence and does not run MISP, import files, or claim runtime command execution.
- NOUVEAUMindsDB status version advisory coverage. Verified active scans now include MindsDB /api/status version evidence for CVE-2026-27483 when the public status endpoint reports a release before 25.9.1.1. This read-only check does not upload files, send traversal filenames, or claim remote-code execution.
- NOUVEAUNiceGUI upload filename source advisory check. GitHub repo scans now include CVE-2026-25732 coverage when affected NiceGUI dependency evidence appears with upload-handler source that saves paths built from client-supplied filenames. The check reports source/dependency evidence without uploading files, writing outside upload directories, or claiming code execution.
June 18, 2026
- NOUVEAUSillyTavern SearXNG SSRF active check. Verified active scans now report only direct evidence that a SillyTavern SearXNG search proxy fetched a FixVibe-controlled external callback URL. The probe avoids localhost, cloud metadata, private-network targets, and internal-service requests.
- NOUVEAUVérification de l'exposition Glances REST API sans authentification. Les analyses actives vérifiées peuvent maintenant confirmer quand l'origine analysée expose l'identité Glances REST API et des réponses en forme de métriques sans authentification. FixVibe enregistre seulement la forme de la réponse et évite les dumps API larges, les listes de processus, les lignes de commande, la configuration ou les secrets.
- NOUVEAUSpring Data Commons + XMLBeam advisory coverage. GitHub repo scans now report paired Maven/Gradle dependency evidence for Spring Data Commons and XMLBeam versions associated with CVE-2018-1259 / GHSA-m929-7fr6-cvjg. The finding stays version-based and does not run the app, send XML payloads, probe endpoints, read local files, or claim SSRF confirmation.
- NOUVEAUVérification d’avis de dépendance Moby AuthZ. Les scans de dépôts GitHub peuvent désormais signaler les manifestes de modules Go qui résolvent des versions de Moby ou Docker Engine affectées par CVE-2026-34040 / GHSA-x744-4wpc-v9h2, avec une preuve basée sur la version sans se connecter aux Docker APIs, sonder les plugins AuthZ, envoyer des requêtes forgées ni affirmer une confirmation de bypass d’autorisation.
- NOUVEAUNGINX rewrite-module config advisory check. GitHub repo scans can now correlate affected NGINX version evidence with rewrite-module configuration evidence for CVE-2026-42945, without running NGINX, sending traffic, or claiming memory-corruption proof.
- NOUVEAUSQLitePCLRaw NuGet advisory check. GitHub repo scans can now flag .NET project and NuGet lockfile evidence for affected SQLitePCLRaw native SQLite packages tied to CVE-2025-6965 / GHSA-2m69-gcr7-jv3q, without claiming memory-corruption proof.
- NOUVEAUgemini-mcp-tool CVE-2026-0755 advisory. Repo scans flag affected npm manifest and lockfile versions for GHSA-4h5r-5jm8-jxjm with repository version evidence only. The check does not run the MCP server, send command or @file probes, trigger callbacks, read local files, or assert runtime exploit confirmation.
- NOUVEAUMastra easy-day-js advisory check. GitHub repo scans flag easy-day-js manifest and lockfile evidence tied to the June 2026 Mastra npm incident. The finding stays limited to repository dependency evidence and does not verify stale npm owners, run package scripts, inspect hosts, or assert credential theft.
- NOUVEAUDrupal Core CVE-2026-9082 advisory check. GitHub repo scans flag Composer manifest and lockfile versions for GHSA-ghwc-95x2-682j with repository version evidence only. The check does not run Drupal, verify PostgreSQL, send SQL payloads, extract data, or assert runtime exploit confirmation.
- NOUVEAUParamiko SSH-server authentication advisory check. GitHub repo scans can now flag Python dependency files that resolve Paramiko releases affected by CVE-2018-7750 / GHSA-232r-66cg-79px, reporting version-based advisory evidence without starting an SSH server, sending bypass traffic, or claiming deployed server-mode exposure.
- NOUVEAUApache Tomcat HTTP/2 resource-consumption dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that resolve Tomcat releases affected by CVE-2020-11996 / GHSA-53hp-jpwq-2jgq, reporting version-based advisory evidence without running Tomcat, sending HTTP/2 denial-of-service traffic, generating high-CPU proof traffic, or claiming runtime availability impact.
- NOUVEAU@andrei-tatar/nora-firebase-common prototype-pollution advisory check. GitHub repo scans can now flag npm manifests and lockfiles that resolve @andrei-tatar/nora-firebase-common versions affected by CVE-2024-30564 / GHSA-jjff-q3q4-5hh8, reporting version-based advisory evidence without running the package, mutating Object.prototype, sending proof payloads, or claiming runtime exploit confirmation.
- NOUVEAUContrôle d'avis Android cordova-plugin-inappbrowser. Les analyses de dépôts GitHub peuvent désormais signaler les manifests npm, lockfiles et fichiers Cordova config.xml qui résolvent des versions de cordova-plugin-inappbrowser affectées par CVE-2019-0219 / GHSA-c6pw-q7f2-97hv, avec des preuves d'avis fondées sur la version, sans construire de binaires mobiles, charger de contenu de preuve, exercer le plugin bridge ni affirmer une exploitabilité Android déployée.
- NOUVEAUNokogiri libxslt RubyGems advisory coverage. GitHub repo scans now report Gemfile, Gemfile.lock, and gemspec evidence for Nokogiri releases affected by CVE-2019-18197 / GHSA-242x-7cm6-4w8j. The check uses version-based RubyGems evidence and does not run Ruby, process XML or XSLT input, crash-test libxslt, or claim runtime exploit confirmation.
- NOUVEAUPerl GD CPAN advisory coverage. GitHub repo scans now report CPAN dependency evidence for Perl GD releases affected by CVE-2026-11526. The check uses version-based repository evidence and does not run Perl, process image files, pass crafted filenames to GD::Image constructors, or claim command-execution or file-overwrite confirmation.
- NOUVEAUkill-port-process CVE-2019-15609 advisory check. GitHub repo scans flag affected npm manifest and lockfile versions for GHSA-xp4x-j9vh-c3wf, reporting version evidence only. The check does not run the package, send command payloads, terminate processes, or assert runtime exploit confirmation.
- NOUVEAUproxy npm advisory coverage. GitHub repo scans can now report repository dependency evidence for proxy releases associated with CVE-2023-2968 / GHSA-mj6p-3pc9-wf5m. The finding stays version-based and does not run proxy, send crafted request traffic, crash-test services, or claim runtime denial-of-service confirmation.
- NOUVEAUApache ActiveMQ Artemis Jolokia dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that resolve org.apache.activemq:artemis-cli versions affected by CVE-2023-50780 / GHSA-443j-grxv-2pgv, reporting version-based advisory evidence without authenticating to Jolokia, enumerating MBeans, changing Log4J2 configuration, writing files, restarting services, or claiming live RCE confirmation.
- NOUVEAUApache ActiveMQ Artemis dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that pin or allow artemis-server versions affected by CVE-2026-27446 / GHSA-fw88-pf9m-p947, reporting version-based advisory evidence without connecting to brokers, triggering federation callbacks, or claiming message injection/exfiltration confirmation.
- NOUVEAUApache Spark UI dependency advisory check. GitHub repo scans can now flag Maven, Gradle, and PySpark dependency files that pin or allow Apache Spark versions affected by CVE-2022-33891 / GHSA-4x9r-j582-cgr8, reporting version-based advisory evidence without visiting Spark UI, sending active exploit probes, or claiming command-execution confirmation.
- NOUVEAUvLLM pickle-deserialization dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow vllm versions affected by CVE-2024-9053 / GHSA-cj47-qj6g-x7r4, reporting version-based advisory evidence without running vLLM, exposing AsyncEngineRPCServer, sending pickle payloads, or claiming runtime code-execution confirmation.
- NOUVEAUApache Airflow example-DAG advisory coverage. GitHub repo scans can now report repository dependency evidence for Airflow releases associated with CVE-2024-45498 / GHSA-c392-whpc-vfpr. The finding stays version-based and does not probe Airflow UI, trigger DAGs, run command payloads, or claim runtime exploit confirmation.
- NOUVEAUONNX download_model_with_test_data advisory coverage. GitHub repo scans now report Python dependency evidence for onnx releases affected by CVE-2024-5187 / GHSA-6rq9-53c3-f7vj and add source-call context when download_model_with_test_data appears. The check does not run Python, download or extract model archives, create malicious tar files, overwrite files, or claim runtime exploit confirmation.
- NOUVEAUYOURLS type-juggling dependency advisory check. GitHub repo scans can now flag Composer and YOURLS source-version evidence for yourls/yourls releases affected by CVE-2019-14537 / GHSA-vf23-f26f-mjj9, reporting version-based advisory evidence without calling the YOURLS API, sending authentication-bypass requests, probing admin pages, or claiming unauthorized access.
- NOUVEAUhttp4k-format-xml dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that resolve org.http4k:http4k-format-xml versions affected by CVE-2024-55875 / GHSA-7mj5-hjjj-8rgw, reporting version-based advisory evidence without sending XML payloads, SSRF callbacks, local-file reads, or denial-of-service traffic.
June 14, 2026
- CORRIGÉDOM XSS fragment probe stability fix. Verified active scans now skip the DOM fragment probe cleanly when browser automation is unavailable at startup, so reports no longer show internal browser-context errors for that check.
- AMÉLIORÉExpanded Red Hat npm worm coverage. GitHub repo scans now include additional Wiz-reported @redhat-cloud-services package versions for the Miasma campaign, while still reporting repository dependency evidence without installing packages, executing lifecycle scripts, or claiming credential theft.
- NOUVEAUKnown npm typosquat package check. GitHub repo scans can now flag package manifests and lockfiles that resolve Microsoft-reported vpmdhaj npm typosquat package versions, reporting version-based advisory evidence without installing packages, executing lifecycle scripts, fetching tarballs, contacting attacker infrastructure, or claiming credential theft.
- NOUVEAUCodex Remote UI token-stealing npm package check. GitHub repo scans can now flag package manifests and lockfiles that resolve codexui-android 0.1.82 or newer, reporting version-based advisory evidence without installing the package, executing it, reading Codex auth files, contacting exfiltration infrastructure, or claiming token theft.
- NOUVEAUClaude Code GitHub Action workflow repo check. GitHub repo scans can now flag Claude Code Action workflows with mutable action refs, broad workflow token permissions, or risky access override inputs, reporting workflow YAML evidence without running Actions, executing Claude Code, reading CI secrets, or claiming prompt-injection exploitation.
- NOUVEAUonering Rust crate malware repo check. GitHub repo scans can now flag Cargo manifests or lockfiles that resolve onering 1.4.1 or the known compromised onering git commit, and can flag matching checked-in build.rs evidence, without running Cargo, executing build scripts, fetching crates, or claiming source exfiltration.
- NOUVEAUNode-gyp / Phantom Gyp npm worm repo check. GitHub repo scans can now flag package manifests or lockfiles that resolve known malicious npm package versions from the binding.gyp supply-chain campaign, or flag matching binding.gyp source evidence, without running npm install, executing node-gyp, downloading tarballs, or claiming credential theft.
June 11, 2026
- AMÉLIORÉMoxa NPort authentication advisory coverage. The existing verified-active Moxa NPort firmware check now correlates the same strong HTTP model and firmware evidence with CVE-2016-9361 as part of the MCSA-160401 advisory family, while still reporting a version-based advisory without attempting password retries, brute-force checks, firmware uploads, unauthenticated administrative actions, SNMP queries, serial-device protocol probes, crash tests, or exploit confirmation.
- AMÉLIORÉMoxa NPort unauthenticated firmware-update advisory coverage. The existing verified-active Moxa NPort firmware check now correlates the same strong HTTP model and firmware evidence with CVE-2016-9369 as part of the MCSA-160401 advisory family, while still reporting a version-based advisory without attempting firmware uploads, unauthenticated administrative actions, SNMP queries, serial-device protocol probes, crash tests, or exploit confirmation.
- NOUVEAUSchneider Modicon M221 firmware advisory check. Passive scans can now flag strong public HTTP product and firmware-version evidence for Modicon M221 controllers associated with CVE-2018-7790, reporting version-based advisory context without capturing credentials, replaying authentication, querying Modbus, uploading PLC programs, or claiming unauthorized-access confirmation.
- NOUVEAULangflow CVE-2025-34291 CORS advisory check. Verified active scans can now flag affected Langflow instances when target-specific version evidence is paired with credentialed CORS origin reflection, without authenticating, reading tokens, triggering refresh flows, or claiming code-execution confirmation.
- NOUVEAUSiteOmat BOS version advisory check. Verified active scans can now flag public SiteOmat BOS version evidence associated with CVE-2017-14728 as a version-based advisory, without attempting default credentials, SSH login, broad port scans, state-changing management actions, or unauthorized access.
- NOUVEAUSiteOmat login SQL injection advisory check. Verified active scans can now flag public SiteOmat BOS version evidence associated with CVE-2017-14851 as a version-based advisory, without submitting login forms, sending SQL injection payloads, attempting authentication bypass, accessing post-login pages, or making state-changing management requests.
- NOUVEAUSiteOmat CGI buffer-overflow advisory check. Verified active scans can now flag public SiteOmat BOS version evidence associated with CVE-2017-14854 as a version-based advisory, without sending crafted CGI input, overflow payloads, crash tests, broad port scans, state-changing management actions, or exploit requests.
- NOUVEAUKubernetes externalIPs manifest advisory check. GitHub repo scans can now flag Kubernetes Service manifests that declare non-empty
spec.externalIPsas source/config hardening evidence for CVE-2020-8554, without inspecting live clusters, checking RBAC, sending traffic, or claiming traffic interception. - NOUVEAUApache Tomcat EncryptInterceptor dependency advisory check. GitHub repo scans can now flag Maven and Gradle files that resolve exact Tomcat releases associated with CVE-2026-34486 / GHSA-69r9-qgr7-g2wj, reporting version-based advisory evidence without running Tomcat, inspecting cluster traffic, sending crafted Tribes packets, or claiming plaintext-disclosure confirmation.
- NOUVEAUApache Tomcat h2c request mix-up dependency advisory check. GitHub repo scans can now flag Maven and Gradle files that resolve Tomcat embedded-core or Coyote versions affected by CVE-2021-25122 / GHSA-j39c-c8hj-x4j3, reporting version-based advisory evidence without running Tomcat, sending h2c upgrade requests, capturing traffic, or claiming information-disclosure confirmation.
- NOUVEAUPickleScan ZIP CRC dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow PickleScan versions affected by CVE-2025-10156 / GHSA-mjqp-26hc-grxg, reporting version-based advisory evidence without running PickleScan, creating corrupted archives, loading models, or claiming runtime code-execution confirmation.
- NOUVEAUNLTK Zip Slip dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow NLTK versions affected by CVE-2025-14009 / GHSA-7p94-766c-hgjp, reporting version-based advisory evidence without running Python or NLTK, calling nltk.download(), extracting packages, creating malicious archives, or claiming runtime code-execution confirmation.
- NOUVEAUTanStack ArkType adapter malware dependency check. GitHub repo scans can now flag package manifests and lockfiles that resolve @tanstack/arktype-adapter to malicious versions 1.166.12 or 1.166.15 from CVE-2026-45321 / GHSA-g7cv-rxg3-hmpx, reporting version-based advisory evidence without running npm install, executing lifecycle scripts, downloading tarballs, or claiming credential theft.
- NOUVEAUMbed TLS CVE-2021-44732 repo advisory check. GitHub repo scans can now flag source and build metadata that identify Mbed TLS versions affected by CVE-2021-44732, reporting version-based advisory evidence without running Mbed TLS, forcing out-of-memory behavior, calling session-copy APIs, or claiming live double-free confirmation.
- NOUVEAUIIS TRACK method exposure check. Verified active scans can now flag legacy TRACK echo behavior associated with CVE-2003-1567 using non-sensitive request evidence, without sending cookies, credentials, browser exploit pages, user traffic, or state-changing requests.
- NOUVEAURed Hat npm worm dependency advisory check. GitHub repo scans can now flag package manifests and lockfiles that resolve known compromised @redhat-cloud-services npm versions associated with the credential-stealing worm campaign, reporting dependency evidence without executing install scripts or claiming credential theft.
- NOUVEAUDICOM executable preamble check. GitHub repo scans can now flag committed DICOM files whose Part 10 preamble carries executable-file evidence, reporting static file evidence without executing the file or claiming production compromise.
June 10, 2026
- NOUVEAUMbed TLS CVE-2023-45199 repo advisory check. GitHub repo scans can now flag source and build metadata that identify Mbed TLS 3.2.x through 3.4.x, reporting version-based advisory evidence without sending TLS handshake payloads or claiming live memory corruption.
- NOUVEAURockwell MicroLogix 1100 advisory fingerprint. Passive scans can now flag strong public HTTP evidence of a Rockwell Automation MicroLogix 1100 controller associated with CVE-2021-33012, reporting advisory context without sending industrial protocol commands or claiming denial-of-service behavior.
- NOUVEAUMoxa NPort firmware advisory check. Verified active scans can now flag public HTTP model and firmware-version evidence for Moxa NPort devices associated with CVE-2016-9363, reporting version-based advisory context without sending crafted packets, querying SNMP, testing serial-device services, or claiming exploit confirmation.
- NOUVEAURockwell MicroLogix 1100 authentication-attempt advisory check. Verified active scans can now flag public HTTP model and firmware evidence for MicroLogix 1100 controllers associated with CVE-2017-7898, reporting version-based advisory context without attempting logins, brute force, or industrial protocol probes.
- NOUVEAULog4j 1.2 JDBCAppender advisory check. GitHub repo scans can now flag Log4j 1.2 dependency evidence paired with JDBCAppender SQL configuration for CVE-2022-23305 / GHSA-65fg-84f6-3jq3, reporting repository/config evidence without executing SQL, writing log events, or claiming runtime database compromise.
- NOUVEAULog4j 1.2 JMSAppender advisory check. GitHub repo scans can now flag Log4j 1.2 dependency evidence paired with JMSAppender configuration for CVE-2021-4104 / GHSA-fp5r-v3w9-4333, reporting repository/config evidence without contacting JNDI or JMS services or claiming runtime exploit confirmation.
- NOUVEAUMicrosoft ATL MS09-035 source advisory check. GitHub repo scans can now flag legacy Visual C++ ATL project metadata paired with ATL source usage associated with CVE-2009-0901/CVE-2009-2493/CVE-2009-2495, reporting source/build advisory evidence without inspecting build machines, sending malformed streams, probing information disclosure, or claiming live code-execution confirmation.
- NOUVEAULangflow CVE-2026-33017 version advisory check. Verified active scans can now flag public Langflow version evidence for CVE-2026-33017 / GHSA-vwmf-pq79-vjvx as a version-based advisory, without submitting flow data, building flows, executing code, or claiming public-flow exploit confirmation.
- NOUVEAUKeras CVE-2025-1550 dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow Keras versions affected by CVE-2025-1550 / GHSA-48g7-3x6r-xfhp, reporting version-based advisory evidence without loading model archives, generating payloads, or claiming runtime code-execution confirmation.
- NOUVEAUTLS RC4 negotiation advisory check. Verified active scans can now flag TLS endpoints that still select RC4 cipher suites associated with CVE-2015-2808, reporting confirmed RC4 support without capturing traffic or claiming plaintext recovery.
- NOUVEAUTLS Sweet32 DES/3DES advisory check. Verified active scans can now flag TLS endpoints that still select DES or 3DES 64-bit block cipher suites associated with CVE-2016-2183, reporting confirmed cipher negotiation without capturing traffic or claiming plaintext recovery.
- NOUVEAUSchneider PowerLogic EGX advisory check. Verified active scans can now flag public PowerLogic EGX100 firmware or EGX300 product evidence associated with CVE-2021-22765/CVE-2021-22767/CVE-2021-22768, reporting product/firmware advisory context without sending crafted HTTP packets, querying industrial protocols, crash-testing gateways, or claiming exploit confirmation.
May 27, 2026
- NOUVEAUArcserve UDP CVE-2025-34523 version advisory check. Verified active scans can now flag public Arcserve UDP version evidence for CVE-2025-34523 as a version-based advisory, without sending crafted heap-overflow input, crash-testing the service, authenticating to the console, or claiming command execution.
- NOUVEAULiferay Portal CVE-2010-5327 version advisory check. Verified active scans can now flag public Liferay Portal version evidence for CVE-2010-5327 as a version-based advisory, without authenticating, editing templates, sending template payloads, or claiming command execution.
- NOUVEAUws excessive-header DoS dependency advisory check. GitHub repo scans can now flag npm manifests and lockfiles that resolve ws versions affected by CVE-2024-37890 / GHSA-3h5v-q93c-6h6q, reporting version-based advisory evidence without sending denial-of-service traffic or claiming runtime WebSocket exposure.
May 25, 2026
- AMÉLIORÉSPIP version advisory wording. Passive SPIP version findings now distinguish version-fingerprint advisory evidence for CVE-2016-7980 and CVE-2016-7998 from runtime exploit proof, without active CSRF, local-file validation, or template-execution reproduction.
- CORRIGÉActive scan reliability and SSTI accuracy fix. Active scans now safely store response-derived evidence that contains unsupported control characters, and SSTI reporting requires stronger target-specific template-evaluation evidence instead of common page or static-asset content.
May 24, 2026
- NOUVEAUWebdriverIO BrowserStack service dependency advisory check. GitHub repo scans can now flag npm manifests and lockfiles that resolve @wdio/browserstack-service versions affected by CVE-2026-25244 / GHSA-5c46-x3qw-q7j7, reporting version-based advisory evidence without running WebdriverIO, starting BrowserStack Local, or using command payloads.
- NOUVEAUWordPress REST API user-exposure check. Verified active scans can now report WordPress REST users endpoints that return public user slugs to unauthenticated clients, with medium-severity exposure wording that does not claim WordPress version proof or account compromise.
- NOUVEAUDjango CSRF dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow Django versions affected by CVE-2011-0696 / GHSA-5j2h-h5hg-3wf8, reporting version-based advisory evidence without running Django, probing state-changing routes, or claiming runtime CSRF exploitability.
- NOUVEAUTMT Lockcell SQL injection active check. Verified active scans can now report TMT Lockcell login surfaces whose responses change consistently with CVE-2023-3047, using a bounded login-response comparison that does not run timing delays, follow authenticated redirects, or extract database data.
- NOUVEAUOpenSSL PowerPC Poly1305 advisory check. GitHub repo scans can now correlate affected OpenSSL 3.x version evidence with PowerPC build/deployment evidence for CVE-2023-6129, reporting version-and-architecture advisory evidence without reproducing state corruption or denial-of-service behavior.
May 23, 2026
- NOUVEAUVérification d'avis electerm pour exécution de commandes non authentifiée. Les analyses de dépôts GitHub peuvent désormais signaler les manifestes et lockfiles npm qui épinglent ou autorisent les versions d'electerm affectées par CVE-2020-23256 / GHSA-x73w-g8hx-v7rp, en rapportant le résultat comme un avis basé sur la version, sans sonder ni démarrer le service electerm.
- NOUVEAUVérification d'avis de dépendance SaltStack Salt. Les analyses de dépôts GitHub peuvent désormais signaler les preuves de dépendance Python pour les versions de Salt affectées par CVE-2017-12791 / GHSA-xxvj-8g5m-4qgw, en les rapportant comme un avis basé sur la version, sans sonder les handshakes du master Salt.
- NOUVEAUVérification d'exposition rclone RC fsinfo. Les analyses actives vérifiées peuvent désormais confirmer une exposition fsinfo non authentifiée de rclone Remote Control associée à CVE-2026-41179 / GHSA-jfwf-28xr-xw6q, à l'aide de preuves de métadonnées bornées et sans exécution de commande.
- NOUVEAUVérification d'avis Apache Tomcat sur la persistance de session. Les analyses de dépôts GitHub peuvent désormais signaler les fichiers de build Maven et Gradle qui résolvent des versions de Tomcat affectées par CVE-2020-9484 / GHSA-344f-f5vg-2jfj, et renforcer le constat lorsque la configuration du dépôt montre également une persistance de session PersistentManager adossée à FileStore.
- NOUVEAUNote Mark dependency advisory check. GitHub repo scans can now flag Go manifests that resolve Note Mark backend versions affected by CVE-2026-44522 / GHSA-g49p-4qxj-88v3, reporting the result as a version-based advisory without uploading files, triggering exports, or claiming live RCE confirmation.
20 mai 2026
- NOUVEAUGogs dependency advisory check. GitHub Les analyses de dépôt peuvent désormais signaler les manifestes Go qui épinglent les versions Gogs affectées pour CVE-2018-20303 / GHSA-9hxg-w7qf-hh93, avec des preuves consultatives basées sur la version plutôt qu'une confirmation de parcours.
- NOUVEAUdeephas prototype-pollution advisory check. GitHub Les analyses de dépôt peuvent désormais signaler les manifestes npm et les fichiers de verrouillage qui résolvent les versions Deephas affectées par CVE-2020-28271 / GHSA-4fr2-j4g9-mppf, avec des preuves consultatives basées sur la version plutôt qu'une confirmation de la pollution du prototype d'exécution.
- NOUVEAUOpenSSL TLSv1.3 session advisory check. GitHub Les analyses de dépôt peuvent désormais corréler les preuves de version OpenSSL affectées avec les preuves de configuration de session TLSv1.3 pour CVE-2024-2511, rapportant des preuves de source de confiance moyenne/config plutôt qu'une confirmation de déni de service en direct.
19 mai 2026
- AMÉLIORÉelecterm Linux install-script coverage. L'avis de dépendance électrique inclut désormais CVE-2026-41501 / GHSA-8x35-hph8-37hq aux côtés de l'avis de script d'installation macOS existant, en gardant la portée des résultats sur les preuves du manifeste npm et du fichier de verrouillage plutôt que sur la confirmation d'exploitation.
- NOUVEAUGeniXCMS author-route SQL injection check. Les analyses actives vérifiées peuvent désormais confirmer le comportement d'erreur de la base de données CVE-2017-5517-style sur les routes auteurs de GeniXCMS avec des preuves spécifiques à la cible, sans extraction de données ni sondes SQL destructrices.
- NOUVEAUNetmaker DNS key authorization-bypass check. Les analyses actives vérifiées peuvent désormais confirmer l'exposition CVE-2023-32077 sur les déploiements Netmaker lorsque le DNS API en lecture seule refuse la demande de base mais renvoie DNS les preuves d'enregistrement via l'ancien chemin d'autorisation DNS, sans créer, modifier ou supprimer des enregistrements.
- NOUVEAUopenDCIM source command-injection check. GitHub Les analyses de dépôt peuvent désormais signaler le modèle CVE-2026-28517 source/config dans report_network_map.php avec des preuves de correspondance de source, de confiance et des limites d'exploitabilité d'exécution au lieu de l'exécution active de commandes.
- NOUVEAUSPIP valider_xml XSS check. Les analyses actives vérifiées peuvent désormais confirmer la réflexion CVE-2016-7981-style URL non échappée sur les déploiements SPIP avec des preuves contextuelles HTML- spécifiques à la cible, sans exécuter JavaScript dans un navigateur.
- NOUVEAUApache Tomcat Coyote dependency advisory check. GitHub Les analyses de dépôt peuvent désormais signaler les fichiers de build Maven et Gradle qui résolvent Tomcat Coyote ou les versions à noyau intégré affectées par CVE-2025-48989 / GHSA-gqp3-2cvr-x8m3, avec des preuves consultatives basées sur la version plutôt qu'une confirmation de déni de service à l'exécution.
- NOUVEAUveraPDF XSLT dependency advisory check. GitHub Les analyses de dépôt peuvent désormais signaler les fichiers de construction Maven et Gradle qui résolvent les artefacts veraPDF affectés par CVE-2024-28109 / GHSA-qxqf-2mfx-x8jw, avec des preuves consultatives basées sur la version plutôt que XSLT confirmation d'exécution.
18 mai 2026
- NOUVEAUelecterm dependency advisory check. GitHub Les analyses de dépôt peuvent signaler les manifestes npm et les fichiers de verrouillage qui épinglent ou autorisent les versions electerm affectées par CVE-2026-41500 / GHSA-wxw2-rwmh-vr8f et CVE-2026-41501 / GHSA-8x35-hph8-37hq, avec des preuves consultatives basées sur la version plutôt qu'une confirmation d'exploitation.
- NOUVEAUOpenCms dependency advisory check. GitHub Les analyses de dépôt peuvent désormais signaler les fichiers Maven pom.xml qui épinglent ou résolvent les versions org.opencms:opencms-core affectées par CVE-2023-42344 / GHSA-rcc6-6q2f-m2cw, avec des preuves consultatives basées sur la version plutôt que XXE confirmation de l'exploit.
- NOUVEAUMagicMirror /cors SSRF check. Les analyses actives vérifiées peuvent désormais confirmer l'exposition CVE-2026-42281 sur les instances MagicMirror lorsque le point de terminaison /cors non authentifié récupère un rappel externe contrôlé par FixVibe, sans sonder les services internes.
17 mai 2026
- NOUVEAUFUXA hardcoded JWT secret check. Les analyses actives vérifiées peuvent désormais confirmer l'exposition CVE-2025-69971 sur les FUXA instances qui font toujours confiance à la configuration de signature de secours vulnérable JWT.
- NOUVEAUCKAN DataStore SQL exposure check. Les analyses actives vérifiées peuvent désormais confirmer l'accès CKAN DataStore SQL non authentifié associé à CVE-2026-42031 et guider les équipes vers les lignes de version corrigées CKAN ou vers une configuration DataStore plus sûre.
16 May 2026
- NOUVEAUPDF.js dependency advisory check. GitHub Les analyses de dépôt peuvent désormais signaler les manifestes npm et verrouiller les fichiers qui épinglent ou autorisent les versions pdfjs-dist affectées par CVE-2024-4367 / GHSA-wgrm-67xf-hhpq.
- NOUVEAUActive scans via REST API and MCP. Les analyses actives peuvent désormais être déclenchées à partir de REST et MCP sur des domaines vérifiés qui ont été explicitement autorisés depuis le tableau de bord. L'autorisation est révocable à tout moment.
- NOUVEAUSafer authorization levels for active scans. L'autorisation de domaine distingue désormais les vérifications actives automatisées plus sûres des tests actifs plus approfondis, afin que les équipes puissent automatiser le niveau de vérification approprié pour chaque domaine.
- NOUVEAUFirst-use webhook for API/MCP active scans. Un webhook peut avertir les équipes la première fois qu'une API/MCP-triggered analyse active est exécutée sur un domaine nouvellement autorisé.
- AMÉLIORÉImproved Referrer-Policy findings. Missing or weak
Referrer-Policyresults now separate URL-referrer leakage from broad information exposure, show document-response evidence, and include generic plus static-host remediation guidance. - AMÉLIORÉImproved Permissions-Policy findings. Missing or weak
Permissions-Policyresults now show feature-level evidence, separate broad feature allowlists from missing hardening, and include generic plus static-host remediation guidance for common hosts, proxies, and app servers. - AMÉLIORÉImproved clickjacking header prompts. Missing
X-Frame-Optionsfindings now point agents to CSPframe-ancestorsas the modern protection, add Vercel/static SPA header guidance, and verifyx-frame-optionswith CSP. - AMÉLIORÉLes rapports CSP header evidence and fix prompts improved. Missing-CSP incluent désormais un contexte d'hébergement et de réponse plus clair ainsi que des conseils de remédiation plus sûrs prenant en compte le framework.
- CORRIGÉVercel path-probe false positives reduced. FixVibe nécessite désormais des preuves plus solides spécifiques à l'application avant de signaler les artefacts de structure exposés sur les déploiements qui réécrivent des routes inconnues vers le shell de l'application.
- CORRIGÉLes constats de conformité ne portent plus d'étiquettes CWE trompeuses. Le check legal-compliance étiquetait "politique de confidentialité manquante" et "CGU manquantes" avec
CWE-359(exposition d'IIP), ce qui ne décrit pas l'écart réel. Ces constats sont désormais publiés sans CWE — ce sont des éléments de conformité, pas des faiblesses de sécurité classifiables.
15 mai 2026
- NOUVEAUAdditional research-informed checks. FixVibe a fourni davantage de couverture sur la base de recherches récentes sur les vulnérabilités et a mappé les sujets en double aux modules d'analyse existants où la couverture existait déjà.
- NOUVEAUVérification de fuite de secrets dans le dépôt. Les analyses de dépôts GitHub peuvent désormais signaler les clés de fournisseur codées en dur et les valeurs à haute entropie ressemblant à des secrets envoyées dans le code, avec les preuves masquées et l'invite de rotation standard FixVibe incluse.
- NOUVEAUVercel deployment protection check. Les analyses passives peuvent désormais signaler les URL de déploiement publiques
*.vercel.appgénérées qui répondent sans Vercel Déploiement Protection, tandis que les vérifications d'en-tête existantes continuent d'auditer CSP, HSTS et le renforcement du navigateur.
14 mai 2026
- NOUVEAULiteLLM dependency advisory check. GitHub Les analyses de dépôt peuvent désormais signaler les fichiers de dépendance Python qui épinglent ou autorisent les versions LiteLLM affectées par CVE-2026-42208 / GHSA-r75f-5x8p-qvmc.
- NOUVEAULibreNMS dependency advisory check. GitHub Les analyses de dépôt peuvent désormais signaler les manifestes Composer qui correspondent à cette épingle ou autoriser les versions LibreNMS affectées par CVE-2024-51092 / GHSA-x645-6pf9-xwxw.
- AMÉLIORÉLes analyses Firebase rules detection improved. BaaS détectent désormais davantage de formes d'applications Firebase et utilisent des preuves en lecture seule pour identifier l'exposition à risque de données publiques.
13 mai 2026
- NOUVEAURepo Supabase RLS migration check. GitHub Les analyses de dépôt peuvent désormais signaler Supabase SQL les migrations qui créent des tables publiques sans instruction
ALTER TABLE ... ENABLE ROW LEVEL SECURITYcorrespondante. - NOUVEAUSupabase Storage posture check. Les analyses passives peuvent désormais examiner les Supabase compartiments de stockage publics et l'exposition des listes d'objets anonymes aux côtés des RLS et des vérifications de clés existantes.
- NOUVEAUAI-generated code guardrail check. GitHub Les analyses de dépôt peuvent désormais signaler les automatisations de sécurité manquantes concernant l'analyse de code, l'analyse de secrets, les mises à jour de dépendances et les AI-instructions des agents.
12 mai 2026
- NOUVEAURepo web-app risk checklist. GitHub Les analyses de dépôt peuvent désormais signaler les risques de code de style OWASP- à haute confiance tels que l'interpolation brute SQL, les récepteurs HTML dangereux, le caractère générique authentifié CORS, la vérification TLS désactivée et les solutions de secours secrètes JWT faibles.
- NOUVEAUNext.js middleware-bypass check. Les analyses actives pour les domaines vérifiés peuvent désormais confirmer l'exposition CVE-2025-29927 sur les routes protégées par un middleware avant de la signaler, et les rapports incluent l'invite de correction standard FixVibe AI pour la correction.
9 mai 2026
- SÉCURITÉCross-origin scope hardening. Les analyses actives et les vérifications des actifs du client restent désormais dans la portée cible autorisée et évitent de transmettre les informations d'identification fournies par le client dans les redirections multi-origines.
- CORRIGÉSupabase RLS check is now strictly read-only. Supabase les contrôles de posture évitent désormais les tentatives d'écriture et se concentrent sur les signaux d'exposition sûrs. Les tests actifs de domaine vérifié restent la limite pour une confirmation plus approfondie.
- AMÉLIORÉLes constats d'en-têtes de sécurité ne s'appliquent qu'aux réponses HTML racine. Une CSP, Permissions-Policy, X-Frame-Options ou Referrer-Policy manquante sur un 204, une API JSON, un téléchargement de fichier ou une 404 ne produit plus de constat. HSTS et X-Content-Type-Options restent évalués sur toutes les réponses.
- AMÉLIORÉAuth-flow and rate-limit checks now require stronger evidence. FixVibe signale désormais ces problèmes uniquement lorsque le comportement de l'application prend clairement en charge le résultat, réduisant ainsi le bruit des pages d'erreur génériques et des méthodes non prises en charge.
- AMÉLIORÉFile-upload findings tier by exploitability evidence. Les rapports de téléchargement de fichiers séparent désormais les signaux d'acceptation de faible confiance des preuves plus solides d'un comportement de diffusion à risque, réduisant ainsi la gravité excessive des gestionnaires de téléchargement inoffensifs.
7 mai 2026
- CORRIGÉThreat-intel listing accuracy improved. FixVibe distingue désormais les preuves réelles des listes de blocage des diagnostics du résolveur afin que les résultats des informations sur les menaces ne soient pas surestimés dans les réponses de recherche côté infrastructure.
- NOUVEAUScans de dépôts GitHub. Connecte un dépôt et FixVibe vérifie le source pour repérer les clés de service Supabase divulguées, les tokens admin Firebase, les fichiers de workflow risqués et les dépendances obsolètes, sans jamais charger ton site déployé. Consulte Types de scan.
- NOUVEAUChecks SAST pour JavaScript risqué. Les scans de dépôt signalent désormais
new Function()etsetTimeout("string"): les deux équivalent àeval()quand ils reçoivent une entrée non fiable. - CORRIGÉFaux constats « fichier exposé » sur les sites Vercel / Cloudflare. Les réponses nues
403 Forbiddenne sont plus signalées comme « fichier existant » : la plupart des fournisseurs edge renvoient 403 pour des chemins suspects, que le fichier existe ou non. Nous exigeons maintenant un signal HTTP positif avant de signaler. - CORRIGÉRepo-code false positives reduced. Les analyses de dépôt évitent désormais de signaler les termes de sécurité dans les commentaires, la documentation, les aides aux tests et les contextes clairement réservés au serveur pour plusieurs vérifications de code à signal élevé.
- CORRIGÉUne clé anon Supabase dans localStorage n'est plus signalée comme constat JWT-in-storage : la clé anon est le token client prévu pour être public. Les vrais tokens service-role dans le stockage navigateur sont maintenant critical avec un titre plus clair.
- CORRIGÉCSP weakness detection improved. Content-Security-Policy les vérifications détectent désormais des politiques de source plus permissives tout en gardant les preuves et les mesures correctives concentrées sur la politique efficace du navigateur.
- CORRIGÉReflected-XSS check tightened. Les analyses actives nécessitent désormais des preuves de réflexion plus solides avant de signaler le risque lié au contexte exécutable, réduisant ainsi les faux positifs dus à un balisage sans rapport sur la page.
- CORRIGÉLa vérification de domaine gère correctement les redirections apex ↔ www et indique plus clairement quelle valeur mettre dans le champ Host de l'enregistrement TXT.
Format
Chaque entrée est étiquetée pour que tu puisses parcourir rapidement :
- NOUVEAU Un nouveau check, une nouvelle surface ou une nouvelle fonctionnalité.
- AMÉLIORÉ Un comportement existant s'est amélioré : plus précis, plus rapide, plus clair.
- CORRIGÉ Un bug que nous avons livré puis corrigé.
- SÉCURITÉ Durcissement, corrections de vulnérabilités ou changements de conformité.
Tu vois quelque chose qui s'est cassé et n'est pas listé ici ? Écris à support@fixvibe.app.
