Protégez vos données, renforcez votre cybersécurité
Nos Services de Cybersécurité
Sécurité des Sites Internet
01 Audit complet et détection des vulnérabilités
Nous réalisons une analyse approfondie de votre site web, conforme aux normes ISO 2700x et NIST CSF, pour identifier et corriger les failles de sécurité potentielles avant qu'elles ne soient exploitées.
02 Protection contre les attaques
Nous déployons des mesures de défense solides pour sécuriser votre site face aux attaques telles que les CSRF, les injections SQL, ainsi qu'à d'autres menaces courantes.
03 Sécurisation des données
Nous veillons à protéger les données sensibles de vos clients et à sécuriser les transactions en ligne sur votre site web.
Sécurité des Réseaux d'Entreprise
01 Audit et Analyse de l'infrastructure réseau
Nous effectuons un examen approfondi de vos politiques de sécurité et de votre réseau, conformément aux normes ISO 2700x et NIST CSF, afin de repérer et corriger les vulnérabilités potentielles.
02 Protection globale de l'infrastructure IT
Nous protégeons l'ensemble de votre système informatique contre les menaces internes et externes, garantissant ainsi une sécurité optimale pour votre entreprise.
03 Sécurisation des accès et des données sensibles
Nous sécurisons vos accès critiques et protégeons vos données confidentielles pour garantir leur intégrité.
Nos solutions de Cybersécurité
Nous analysons l’ensemble de votre infrastructure informatique pour identifier les failles potentielles et améliorer la sécurité de vos connexions, équipements et protocoles.
En savoir plus
Nous réalisons un diagnostic approfondi de votre site web pour détecter les vulnérabilités et renforcer sa protection contre les cyberattaques, telles que les injections SQL, les failles XSS et les attaques par force brute.
En savoir plus
Nos experts vous accompagnent dans l’élaboration et l’optimisation de votre politique de sécurité informatique. Nous définissons ensemble une stratégie adaptée pour sécuriser vos systèmes, réduire les risques et garantir votre conformité aux réglementations en vigueur.
En savoir plus
Nous mettons en place des technologies avancées pour protéger vos infrastructures, réseaux et données sensibles. De la gestion des accès au chiffrement des informations, nous assurons une protection efficace contre les menaces cybernétiques.
En savoir plus
Pourquoi choisir Bexxo ?
Dernières actualités
Comment nous collaborons avec vous
Écoute et compréhension
Nous prenons le temps de discuter de vos besoins et de vos objectifs afin de bien comprendre vos enjeux spécifiques.
Analyse approfondie
Nous examinons en détail vos politiques de sécurité, vos systèmes web et réseau pour repérer les vulnérabilités.
Correction et renforcement
Nous déployons des solutions pour éliminer les failles et renforcer vos défenses.
Vigilance permanente
Nous garantissons une surveillance continue et nous nous adaptons constamment à l'évolution des menaces.
Une cybersécurité adaptée à vos enjeux
Les cyberattaques sont de plus en plus sophistiquées et peuvent avoir des conséquences désastreuses pour les entreprises : perte de données critiques, atteinte à la réputation, sanctions réglementaires et interruptions d'activité. Pour éviter ces risques, il est crucial de mettre en place une stratégie de cybersécurité robuste et proactive.
Chez Bexxo, nous offrons des solutions de protection sur-mesure, adaptées à vos besoins et conformes aux normes de sécurité les plus exigeantes, telles que ISO 27001/27002 et NIST. Conformément aux recommandations du NCSC, nous analysons, détectons et corrigeons les vulnérabilités de votre infrastructure pour assurer une protection optimale.
Restez en avance avec les dernières failles critiques de sécurité.
CVE-2026-33039 - HIGH
20/03/2026
WWBN AVideo is an open source video platform. In versions 25.0 and below, the plugin/LiveLinks/proxy.php endpoint validates user-supplied URLs against internal/private networks using isSSRFSafeURL(), but only checks the initial URL. When the initial URL responds with an HTTP redirect (Location header), the redirect target is fetched via fakeBrowser() without re-validation, allowing an attacker to ...
ssrfOWSAP: A10
CVE-2026-4475 - HIGH
20/03/2026
A vulnerability has been found in Yi Technology YI Home Camera 2 2.1.1_20171024151200. The affected element is an unknown function of the file home/web/ipc. Such manipulation leads to hard-coded credentials. Access to the local network is required for this attack to succeed. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did n...
OWSAP: A07
CVE-2026-4038 - CRITICAL
20/03/2026
The Aimogen Pro plugin for WordPress is vulnerable to Arbitrary Function Call that can lead to privilege escalation due to a missing capability check on the 'aiomatic_call_ai_function_realtime' function in all versions up to, and including, 2.7.5. This makes it possible for unauthenticated attackers to call arbitrary WordPress functions such as 'update_option' to update the default role for regist...
authorisationproblemOWSAP: A01
CVE-2026-32940 - CRITICAL
20/03/2026
SiYuan is a personal knowledge management system. In versions 3.6.0 and below, SanitizeSVG has an incomplete blocklist — it blocks data:text/html and data:image/svg+xml in href attributes but misses data:text/xml and data:application/xml, both of which can render SVG with JavaScript execution. The unauthenticated /api/icon/getDynamicIcon endpoint serves user-controlled input (via the content par...
crosssitescriptingOWSAP: A03
CVE-2026-32938 - CRITICAL
20/03/2026
SiYuan is a personal knowledge management system. In versions 3.6.0 and below, the /api/lute/html2BlockDOM on the desktop copies local files pointed to by file:// links in pasted HTML into the workspace assets directory without validating paths against a sensitive-path list. Together with GET /assets/*path, which only requires authentication, a publish-service visitor can cause the desktop kernel ...
directorytraversalOWSAP: A01
CVE-2026-32891 - CRITICAL
20/03/2026
Anchorr is a Discord bot for requesting movies and TV shows and receiving notifications when items are added to a media server. Versions 1.4.1 and below contain a stored XSS vulnerability in the Jellyseerr user selector. Jellyseerr allows any account holder to execute arbitrary JavaScript in the Anchorr admin's browser session. The injected script calls the authenticated /api/config endpoint - whi...
OWSAP: A03OWSAP: A04
CVE-2026-32890 - CRITICAL
20/03/2026
Anchorr is a Discord bot for requesting movies and TV shows and receiving notifications when items are added to a media server. In versions 1.4.1 and below, a stored Cross-site Scripting (XSS) vulnerability in the web dashboard's User Mapping dropdown allows any unprivileged Discord user in the configured guild to execute arbitrary JavaScript in the Anchorr admin's browser. By chaining this with t...
crosssitescriptingOWSAP: A03OWSAP: A01
CVE-2026-32888 - HIGH
20/03/2026
Open Source Point of Sale is a web based point-of-sale application written in PHP using CodeIgniter framework. Versions contain an SQL Injection in the Items search functionality. When the custom attribute search feature is enabled (search_custom filter), user-supplied input from the search GET parameter is interpolated directly into a HAVING clause without parameterization or sanitization. This a...
sqlinjectionOWSAP: A03
CVE-2026-21992 - CRITICAL
20/03/2026
Vulnerability in the Oracle Identity Manager product of Oracle Fusion Middleware (component: REST WebServices) and Oracle Web Services Manager product of Oracle Fusion Middleware (component: Web Services Security). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle ...
CVE-2026-32817 - CRITICAL
20/03/2026
Admidio is an open-source user management solution. In versions 5.0.0 through 5.0.6, the documents and files module does not verify whether the current user has permission to delete folders or files. The folder_delete and file_delete action handlers in modules/documents-files.php only perform a VIEW authorization check (getFolderForDownload / getFileForDownload) before calling delete(), and they n...
authorisationproblemOWSAP: A01
CVE-2026-32811 - HIGH
20/03/2026
Heimdall is a cloud native Identity Aware Proxy and Access Control Decision service. When using Heimdall in envoy gRPC decision API mode with versions 0.7.0-alpha through 0.17.10, wrong encoding of the query URL string allows rules with non-wildcard path expressions to be bypassed. Envoy splits the requested URL into parts, and sends the parts individually to Heimdall. Although query and path are ...
authorisationproblemOWSAP: A03OWSAP: A01
CVE-2026-32767 - CRITICAL
20/03/2026
SiYuan is a personal knowledge management system. Versions 3.6.0 and below contain an authorization bypass vulnerability in the /api/search/fullTextSearchBlock endpoint. When the method parameter is set to 2, the endpoint passes user-supplied input directly as a raw SQL statement to the underlying SQLite database without any authorization or read-only checks. This allows any authenticated user —...
sqlinjectionauthorisationproblemOWSAP: A03OWSAP: A01
CVE-2026-32829 - HIGH
20/03/2026
lz4_flex is a pure Rust implementation of LZ4 compression/decompression. In versions 0.11.5 and below, and 0.12.0, decompressing invalid LZ4 data can leak sensitive information from uninitialized memory or from previous decompression operations. The library fails to properly validate offset values during LZ4 "match copy operations," allowing out-of-bounds reads from the output buffer. The block-b...
overflowOWSAP: A01
CVE-2026-33289 - HIGH
20/03/2026
SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Prior to versions 7.15.1 and 8.9.3, an LDAP Injection vulnerability exists in the SuiteCRM authentication flow. The application fails to properly sanitize user-supplied input before embedding it into the LDAP search filter. By injecting LDAP control characters, an unauthenticated attacker can ...
OWSAP: A03
CVE-2026-33288 - HIGH
20/03/2026
SuiteCRM is an open-source, enterprise-ready Customer Relationship Management (CRM) software application. Prior to versions 7.15.1 and 8.9.3, a SQL Injection vulnerability exists in the SuiteCRM authentication mechanisms when directory support is enabled. The application fails to properly sanitize the user-supplied username before using it in a local database query. An attacker with valid, low-pri...
sqlinjectionOWSAP: A03
CVE-2026-32763 - HIGH
20/03/2026
Kysely is a type-safe TypeScript SQL query builder. Versions up to and including 0.28.11 has a SQL injection vulnerability in JSON path compilation for MySQL and SQLite dialects. The `visitJSONPathLeg()` function appends user-controlled values from `.key()` and `.at()` directly into single-quoted JSON path string literals (`'$.key'`) without escaping single quotes. An attacker can break out of the...
sqlinjectionOWSAP: A03
CVE-2026-32756 - HIGH
20/03/2026
Admidio is an open-source user management solution. Versions 5.0.6 and below contain a critical unrestricted file upload vulnerability in the Documents & Files module. Due to a design flaw in how CSRF token validation and file extension verification interact within UploadHandlerFile.php, an authenticated user with upload permissions can bypass file extension restrictions by intentionally submittin...
fileinclusionOWSAP: A04
CVE-2026-22733 - HIGH
20/03/2026
Spring Boot applications with Actuator can be vulnerable to an "Authentication Bypass" vulnerability when an application endpoint that requires authentication is declared under the path used by the CloudFoundry Actuator endpoints. This issue affects Spring Security: from 4.0.0 through 4.0.3, from 3.5.0 through 3.5.11, from 3.4.0 through 3.4.14, from 3.3.0 through 3.3.17, from 2.7.0 through 2.7.31...
OWSAP: A07
CVE-2026-32985 - CRITICAL
20/03/2026
Xerte Online Toolkits versions 3.14 and earlier contain an unauthenticated arbitrary file upload vulnerability in the template import functionality. The issue exists in /website_code/php/import/import.php where missing authentication checks allow an attacker to upload a crafted ZIP archive disguised as a project template. The archive can contain a malicious PHP payload placed in the media/ directo...
authorisationproblemfileinclusionOWSAP: A07OWSAP: A04
CVE-2026-32760 - CRITICAL
19/03/2026
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. In versions 2.61.2 and below, any unauthenticated visitor can register a full administrator account when self-registration (signup = true) is enabled and the default user permissions have perm.admin = true. The signup handler blindly applies all default settings ...
priviliegemanagementOWSAP: A04OWSAP: A01
Questions fréquentes sur la cybersécurité
Pourquoi une PME suisse a-t-elle besoin d'un audit de cybersécurité ?
Plus de 40 % des cyberattaques en Suisse ciblent les PME. Un audit identifie les vulnérabilités de vos systèmes (réseau, site web, accès) avant qu'elles ne soient exploitées, et vous met en conformité avec les normes ISO 27001 et la nLPD.
Quels services de cybersécurité propose Bexxo ?
Bexxo propose des audits de sécurité web et réseau, des tests de pénétration (pentest), du consulting en cybersécurité, des formations anti-phishing avec PhishTrainer, et une veille continue sur les vulnérabilités via CVE Find.
Combien coûte un audit de sécurité informatique ?
Nos forfaits débutent à 1 500 CHF (forfait Essentiel) et vont jusqu'à 15 000 CHF (forfait Premium) selon la profondeur de l'analyse. Chaque audit est conforme aux référentiels ISO 27002 et NIST CSF. Demandez un devis gratuit adapté à votre situation.
Comment se déroule une collaboration avec Bexxo ?
Notre processus se déroule en 4 étapes : écoute de vos besoins, analyse approfondie de vos systèmes, correction et renforcement des failles détectées, puis surveillance continue pour anticiper les nouvelles menaces.
Bexxo intervient-il dans toute la Suisse ?
Oui. Basée à Ins (canton de Berne), notre équipe accompagne des PME dans toute la Suisse romande et au-delà. Nos audits peuvent être réalisés à distance ou sur site, en français, allemand et anglais.