Alertes CVE & Vulnérabilités
CVE critiques · Exploitations actives · 0-day · Correctifs urgents · Alertes CERT-FR
CVE-2026-43899 et 43900 : RCE DeepChat via agent IA piégé
Chaîne RCE critique sur DeepChat (CVE-2026-43899 CVSS 9.6 et CVE-2026-43900 CVSS 9.3) : exécution de code via agent IA piégé et artefact SVG malveillant.
Dernières alertes
CVE-2026-45321 Mini Shai-Hulud : 170+ paquets npm compromis
CVE-2026-45321 (CVSS 9.6) : compromission massive de 170+ paquets npm (TanStack, Mistral AI, UiPath) par le ver Mini Shai-Hulud, vol massif de credentials développeurs.
CVE-2026-43284 Dirty Frag : LPE root noyau Linux (PoC public)
Chaîne d'élévation de privilèges locale Dirty Frag (CVE-2026-43284 et CVE-2026-43500) dans le noyau Linux : PoC public, exploitation active confirmée par Microsoft.
CVE-2026-42302 : RCE non-auth FastGPT agent-sandbox (9.8)
CVE-2026-42302 (CVSS 9.8) expose le composant agent-sandbox de FastGPT à une RCE non authentifiée via code-server lancé avec --auth none. Versions 4.14.10 à 4.14.12 vulnérables, patch 4.14.13 disponible.
CVE-2026-27960 : OpenCTI takeover non-auth via API GraphQL
CVE-2026-27960 (CVSS 9.8) permet à un attaquant non authentifié de prendre le contrôle administratif d'OpenCTI via l'API GraphQL. Versions 6.6.0 à 6.9.12 vulnérables.
CVE-2026-42605 : RCE AzuraCast path traversal upload (8.8)
CVE-2026-42605 (CVSS 8.8) : un compte DJ AzuraCast suffit pour exploiter un path traversal dans l'endpoint d'upload Flow.js et déposer un webshell PHP. Patch 0.23.6 urgent.
CVE-2026-7896 : RCE critique Chrome Blink integer overflow (9.6)
Chrome 148 corrige CVE-2026-7896, integer overflow critique CVSS 9.6 dans Blink permettant RCE drive-by. PoC public depuis le 7 mai 2026, patch immédiat impératif.
CVE-2026-42354 : prise de compte Sentry via SAML SSO (9.1)
Sentry self-hosted multi-org affecté par CVE-2026-42354 (CVSS 9.1) : prise de contrôle de compte via SAML SSO forgé. Patcher vers 26.4.1 sans délai.
CVE-2026-42569 : bypass auth phpVMS import legacy (CVSS 9.4)
phpVMS jusqu'à 7.0.5 affecté par CVE-2026-42569 : bypass d'authentification sur endpoints d'import legacy, CVSS 9.4. Mise à jour 7.0.6 obligatoire.
CVE-2026-37709 : RCE critique Snipe-IT via upload (9.8)
CVE-2026-37709 : RCE CVSS 9.8 dans Snipe-IT via upload de fichiers aux permissions insécurisées. Mise à jour requise pour les versions 8.4.0 et antérieures.
CVE-2026-42454 : RCE critique Termix via containerId (9.9)
CVE-2026-42454 : RCE CVSS 9.9 dans Termix via injection de commande OS sur le paramètre containerId non assaini. Correctif 2.1.0 publié le 8 mai 2026.
CVE-2026-42208 : SQL injection LiteLLM proxy IA au KEV
CVE-2026-42208 : SQL injection pré-authentifiée dans le proxy LiteLLM exploitée 36 heures après divulgation. Ajoutée au KEV de la CISA le 8 mai 2026.
CVE-2026-43997 : vm2 sandbox escape RCE (CVSS 10.0)
CVE-2026-43997, 44005 et 44006 (CVSS 10.0) : douze sandbox escapes critiques dans vm2 Node.js, dont deux non patchés en 3.11.1. Migration urgente recommandée.
CVE-2026-6973 : Ivanti EPMM zero-day RCE actif au KEV
CVE-2026-6973 : zero-day Ivanti EPMM exploité in-the-wild, RCE post-authentification administrateur, ajouté au KEV CISA avec échéance fédérale au 10 mai 2026.
CVE-2026-0300 : RCE root PAN-OS Captive Portal exploité
CVE-2026-0300 : buffer overflow non authentifié dans le User-ID Authentication Portal de PAN-OS, RCE root activement exploité, ajouté au KEV CISA le 6 mai 2026.