Alertes CVE & Vulnérabilités
CVE critiques · Exploitations actives · 0-day · Correctifs urgents · Alertes CERT-FR
CVE-2025-62373 : RCE Pipecat agents IA voix (pickle)
CVE-2025-62373 : RCE préauth dans Pipecat via pickle.loads() exposé en WebSocket (CVSS 9.8). Toutes versions 0.0.41 à 0.0.93 vulnérables, patcher en 0.0.94.
Dernières alertes
CVE-2026-33725 : RCE Metabase Enterprise via H2 JDBC
CVE-2026-33725 : RCE et lecture de fichiers dans Metabase Enterprise via injection H2 JDBC INIT lors d'un import de sérialisation. PoC public disponible.
CVE-2026-32157 : RCE Remote Desktop Client Microsoft
CVE-2026-32157 : RCE use-after-free CVSS 8.8 dans le client Microsoft Remote Desktop. Tout serveur RDP malveillant exécute du code sur le poste qui s'y connecte.
CVE-2026-6951 : RCE critique simple-git npm (CVSS 9.8)
CVE-2026-6951 : exécution de code à distance critique CVSS 9.8 dans le paquet npm simple-git via bypass du correctif CVE-2022-25912. Mise à jour 3.36.0 obligatoire.
CVE-2025-2749 : RCE Kentico Xperience inscrite au KEV CISA
CVE-2025-2749 : path traversal Kentico Xperience vers RCE, ajoutée au KEV CISA le 20 avril 2026. Échéance fédérale fixée au 4 mai 2026.
CVE-2026-34621 : Adobe Acrobat zero-day PDF exploité 4 mois
CVE-2026-34621 : zero-day Adobe Acrobat / Reader exploité depuis décembre 2025 via PDF malveillant, patch APSB26-43 publié le 11 avril 2026.
CVE-2026-35616 : FortiClient EMS API auth bypass exploité
CVE-2026-35616 expose les serveurs FortiClient EMS 7.4.5 et 7.4.6 à un bypass d'authentification API exploité in-the-wild depuis le 31 mars 2026.
CVE-2026-33032 : nginx-ui auth bypass exploitée (CVSS 9.8)
CVE-2026-33032 : auth bypass nginx-ui (CVSS 9.8) exploitée massivement. 2 689 instances exposées. Mise à jour 2.3.4 ou désactivation MCP impérative.
CVE-2024-57726 : SimpleHelp RMM exploitée par DragonForce
CVE-2024-57726 et 57728 : SimpleHelp RMM ajoutées au KEV CISA. Chaîne exploitée par DragonForce et Medusa contre les MSP depuis janvier 2025.
CVE-2024-7399 : Samsung MagicINFO 9 ajoutée au KEV CISA
CVE-2024-7399 : path traversal critique Samsung MagicINFO 9 ajoutée au KEV CISA le 24 avril 2026, exploitée par botnets Mirai. Patch immédiat requis.
CVE-2026-39987 : RCE pré-auth Marimo exploitée en 10h
Faille RCE pré-authentifiée CVSS 9.3 dans le notebook Python Marimo, exploitée moins de 10h après publication pour déployer le malware NKAbuse.
CVE-2026-40372 : EoP signature ASP.NET Core (CVSS 9.1)
Microsoft publie un correctif out-of-band pour CVE-2026-40372, une faille de vérification de signature dans ASP.NET Core DataProtection permettant l'élévation SYSTEM.
CVE-2026-33519 : Esri Portal ArcGIS auth bypass (9.8)
Faille d'autorisation critique CVSS 9.8 dans Esri Portal for ArcGIS : les credentials développeur mal vérifiés permettent l'escalade administrateur.
CVE-2026-33825 : zero-day Defender BlueHammer au KEV
Microsoft Defender est visé par un zero-day activement exploité surnommé « BlueHammer » permettant une élévation de privilèges jusqu'à SYSTEM.
CVE-2026-21571 : injection commande Atlassian Bamboo (9.4)
Atlassian patche une faille critique d'injection de commande dans Bamboo Data Center et Server qui autorise l'exécution arbitraire de commandes OS.