Alertes CVE & Vulnérabilités
CVE critiques · Exploitations actives · 0-day · Correctifs urgents · Alertes CERT-FR
CERTFR-2026-AVI-0675 : vulnérabilités XSS et suppression GLPI, patch urgent
Le CERT-FR publie CERTFR-2026-AVI-0675 signalant quatre vulnérabilités dans GLPI (CVE-2026-40108, CVE-2026-42318, CVE-2026-42321, CVE-2026-5385) : XSS stockées et suppression arbitraire d'actifs. Troisième alerte en 4 semaines — patch urgent vers GLPI 10.0.25 ou 11.0.7.
Dernières alertes
CVE-2026-5076 : prise de contrôle admin WordPress ARMember, CVSS 9.8
La chaîne de vulnérabilités CVE-2026-5073/5074/5076 (CVSS 9.8) dans ARMember Premium permet à un attaquant non authentifié de prendre le contrôle total de n'importe quel site WordPress via injection SQL et clé de reset en clair. Patch disponible en version 7.3.2.
CVE-2026-20045 : 0-day RCE Cisco Unified CM, CISA KEV
Un 0-day critique CVE-2026-20045 (CVSS 8.2/Critical) affecte Cisco Unified CM, Unity Connection et Webex Calling : RCE non authentifié menant à un accès root, exploité activement et ajouté au catalogue CISA KEV. Aucun workaround disponible.
CVE-2026-8644/9319 : Triple RCE IBM WebSphere critique
IBM WebSphere Application Server est affecté par trois vulnérabilités critiques divulguées simultanément le 1er juin 2026 : usurpation d'identité (CVSS 9.1) et double RCE (CVSS 9.0), affectant les versions 8.5 et 9.0.
CVE-2026-21902 : RCE root Juniper PTX Junos, CVSS 9.8
CVE-2026-21902 est une RCE pré-authentifiée CVSS 9.8 dans Juniper Junos OS Evolved sur routeurs PTX Series : une API REST interne exposée sans authentification sur le port TCP 8160 permet l'exécution de commandes en tant que root.
CVE-2026-45497 : RCE Microsoft 365 Copilot CVSS 9.8
CVE-2026-45497 est une injection de commandes critique (CVSS 9.8) dans Microsoft 365 Copilot, permettant une RCE avec évasion de conteneur dans l'infrastructure cloud M365. Microsoft a corrigé le service côté serveur avant la divulgation publique du 4 juin 2026.
CVE-2026-8043 : Ivanti Xtraction CVSS 9.6, fuite fichiers
CVE-2026-8043 (CVSS 9.6) est une vulnérabilité critique de traversée de répertoires et d'écriture arbitraire dans Ivanti Xtraction, permettant à un attaquant authentifié de lire des fichiers internes sensibles et d'implanter du contenu malveillant. Patch disponible : Ivanti Xtraction 2026.2.
CVE-2026-45247 : RCE Magento CVSS 9.8, KEV CISA
CVE-2026-45247 (CVSS 9.8) est une désérialisation PHP non sécurisée dans le plugin Mirasvit Full Page Cache Warmer pour Magento et Adobe Commerce, permettant une exécution de code arbitraire sans authentification. Ajoutée au catalogue KEV de la CISA le 3 juin 2026.
CVE-2026-41089 : RCE Netlogon CVSS 9.8, DC compromis
CVE-2026-41089 (CVSS 9.8) est un débordement de pile dans Windows Netlogon permettant une exécution de code arbitraire sans authentification sur les contrôleurs de domaine Active Directory. Exploitation active confirmée depuis le 29 mai 2026, avec un PoC public disponible.
CVE-2026-41283 : RCE non authentifiée CVSS 9.9 OpenStack Mistral
CVE-2026-41283 (CVSS 9.9) : RCE non authentifiée dans OpenStack Mistral jusqu'à v22.0.0, divulguée le 4 juin 2026. Patch urgent — API exposée = compromission imminente.
0-day VS Code github.dev : vol de tokens GitHub OAuth en 1 clic
0-day dans github.dev (VS Code navigateur) permet de voler les tokens GitHub OAuth en un clic. Aucun CVE attribué, aucun patch disponible. Révoquez vos tokens immédiatement.
CVE-2026-33825 & CVE-2026-41091 : 0-days Windows Defender SYSTEM
CVE-2026-33825 (BlueHammer) et CVE-2026-41091 (RedSun) : 0-days Windows Defender LPE vers SYSTEM, exploitées activement. Deadline CISA KEV : 3 juin 2026. Patch MPE urgent.
CVE-2025-48595 : 0-day Android exploité activement, CVSS 8.4
Le bulletin de sécurité Android de juin 2026 révèle l'exploitation active de CVE-2025-48595, un débordement d'entiers dans Android Framework permettant une élévation de privilèges locale sur Android 14 à 16 sans interaction utilisateur. Ajoutée au catalogue CISA KEV le 2 juin 2026, patch level 2026-06-05 requis en urgence.
CVE-2024-21182 Oracle WebLogic RCE exploité, KEV CISA
CISA ajoute CVE-2024-21182 au catalogue KEV le 1er juin 2026 : la faille RCE dans Oracle WebLogic Server via les protocoles T3 et IIOP est activement exploitée pour déployer ransomwares Sodinokibi et agents Cobalt Strike. Patch disponible depuis avril 2024, deadline fédérale au 22 juin 2026.
CVE-2026-3055 NetScaler SAML : exploitation massive Fortinet
Fortinet confirme une exploitation à grande échelle de CVE-2026-3055 dans Citrix NetScaler ADC et Gateway configurés en SAML IDP. Cette lecture mémoire hors limites sur l'endpoint /wsfed/passive permet d'extraire des session IDs administratives avec un PoC public sur GitHub. CISA KEV, CVSS 9.3.