Alertes CVE & Vulnérabilités
CVE critiques · Exploitations actives · 0-day · Correctifs urgents · Alertes CERT-FR
CVE-2026-10520 : Ivanti Sentry RCE pré-auth CVSS 10.0
Ivanti publie un patch d'urgence pour CVE-2026-10520, une injection OS pré-authentifiée dans Sentry obtenant le score CVSS maximal de 10.0. L'exploitation active est confirmée avec des backdoors déjà installés sur des instances exposées.
Dernières alertes
CVE-2026-25089 : RCE non-auth FortiSandbox CVSS 9.8
Fortinet corrige CVE-2026-25089, une injection de commandes OS critique permettant une exécution de code à distance sans authentification dans FortiSandbox. Un PoC public est disponible, rendant l'exploitation triviale.
CVE-2026-44963 : RCE Veeam Backup CVSS 9.4 ransomware
CVE-2026-44963 affecte Veeam Backup & Replication v12 via une désérialisation non sécurisée. Un PoC public est disponible et l'historique ransomware des failles Veeam rend ce patch absolument prioritaire.
CVE-2026-44748 : Bypass SAML SAP NetWeaver CVSS 9.9
CVE-2026-44748 (CVSS 9.9) est une faille XML Signature Wrapping dans l’authentification SAML de SAP NetWeaver AS ABAP. Elle permet à un utilisateur à faibles privilèges d’usurper toute identité SAP. SAP Security Note 3596733 disponible en urgence.
CVE-2026-47291 : RCE wormable HTTP.sys Windows CVSS 9.8
CVE-2026-47291 (CVSS 9.8) est un dépassement d’entier dans HTTP.sys, le pilote noyau Windows gérant le trafic HTTP. Non authentifiée et potentiellement wormable, elle affecte IIS, Exchange et WinRM. Patch Tuesday Microsoft juin 2026 — correctif disponible.
CVE-2026-11645 : 0-day Chrome V8 exploité, CISA KEV
CVE-2026-11645 est un 0-day dans le moteur JavaScript V8 de Chrome, activement exploité et ajouté au KEV CISA le 9 juin 2026. La faille out-of-bounds read/write affecte tous les navigateurs Chromium. Mettre à jour Chrome vers 149.0.7827.102 immédiatement.
CVE-2026-20182 : Cisco SD-WAN CVSS 10.0 exploite par UAT-8616
CVE-2026-20182, bypass auth CVSS 10.0 dans Cisco Catalyst SD-WAN Controller via vdaemon DTLS, est activement exploite par l'acteur etatique UAT-8616. PoC public GitHub. CISA Emergency Directive 26-03, patch disponible depuis le 14 mai 2026.
CVE-2026-45657 : RCE Windows Kernel CVSS 9.8, Patch Tuesday juin 2026
CVE-2026-45657 est une use-after-free dans le noyau Windows TCP/IP (CVSS 9.8) permettant une RCE distante sans authentification, corrigee lors du Patch Tuesday record du 9 juin 2026 (198 CVE). Patch KB5094126 a appliquer en urgence.
CVE-2026-42271 : RCE non-auth LiteLLM, CISA KEV juin 2026
CVE-2026-42271 (injection commandes LiteLLM CVSS 8.7) chaine avec CVE-2026-48710 (bypass Starlette) : RCE non auth CVSS 10.0. Exploitation active, CISA KEV 8 juin 2026.
CVE-2026-50751 : 0-day Check Point VPN exploité par Qilin
Un affilié du ransomware Qilin exploite activement CVE-2026-50751, un 0-day Check Point VPN (CVSS 9.3) contournant l'authentification IKEv1. Hotfix d'urgence disponible.
CVE-2026-20230 : Cisco UCM SSRF mène au root, PoC public
CVE-2026-20230 dans Cisco Unified CM WebDialer permet à un attaquant non authentifié d'atteindre les privilèges root via SSRF (CVSS 8.6, Critical). Un PoC public est disponible.
Patch Tuesday juin 2026 : Exchange CVE-2026-42897 et +70 CVE
Le Patch Tuesday du 9 juin 2026 livre le correctif permanent pour CVE-2026-42897 (Exchange OWA exploité actif) ainsi que des RCE critiques SharePoint et Word, avec une deadline Secure Boot au 26 juin.
CVE-2026-20245 : 0-day Cisco SD-WAN Manager, root sans patch
Cisco confirme l'exploitation active de CVE-2026-20245 dans Catalyst SD-WAN Manager : injection root sans patch disponible, signalee par Mandiant. CERT-FR AVI-0699 publie le 5 juin 2026.
CVE-2026-23813 : HPE Aruba AOS-CX bypass admin critique CVSS 9.8
HPE corrige deux vulnerabilites critiques AOS-CX : CVE-2026-23813 (CVSS 9.8) permet la prise de controle admin sans credentials, CVE-2026-23814 (CVSS 8.8) permet l'injection CLI. CERT-FR AVI-0683.
CVE-2026-28318 : SolarWinds Serv-U exploite, CISA KEV, patch urgent
La CISA ajoute CVE-2026-28318 au catalogue KEV juin 2026 : crash DoS non authentifie dans SolarWinds Serv-U via POST malveillant. Patch en version 15.5.4 HF1. Deadline federale : 19 juin 2026.