Alertes CVE & Vulnérabilités
CVE critiques · Exploitations actives · 0-day · Correctifs urgents · Alertes CERT-FR
CVE-2026-8732 WP Maps Pro : admin WordPress sans auth
WP Maps Pro ≤ 6.1.0 (CVSS 9.8) expose un endpoint AJAX accessible sans authentification, permettant la création de comptes WordPress administrateurs. Plus de 3 600 tentatives bloquées en 24h.
Dernières alertes
CVE-2026-20223 Cisco Secure Workload : bypass auth CVSS 10.0
CVE-2026-20223 (CVSS 10.0 maximal) : l'API REST interne de Cisco Secure Workload ne valide pas l'authentification, permettant à tout attaquant distant d'obtenir les droits Site Admin sur l'ensemble des tenants.
CVE-2026-26083 FortiSandbox : RCE non-auth CVSS 9.1
CVE-2026-26083 (CVSS 9.1) : une autorisation manquante dans l'interface Web de FortiSandbox permet l'exécution de code arbitraire sans authentification, compromettant la couche de détection avancée.
CVE-2026-0257 : bypass auth GlobalProtect PAN-OS, KEV CISA
La CVE-2026-0257 (CVSS 9.1) permet à un attaquant non authentifié de contourner l'authentification GlobalProtect PAN-OS. Exploitée activement depuis le 17 mai 2026, elle est inscrite au KEV CISA avec une deadline de patch au 19 juin.
CVE-2026-45185 Dead.Letter : RCE non-auth CVSS 9.8 sur Exim GnuTLS
Dead.Letter (CVE-2026-45185) est une use-after-free CVSS 9.8 dans Exim 4.97-4.99.2 compilé avec GnuTLS. Un attaquant non authentifié peut exécuter du code arbitraire via SMTP BDAT. Mise à jour vers Exim 4.99.3 obligatoire.
CVE-2026-46840 : prise de contrôle totale Oracle ORDS, CVSS 10.0
CVE-2026-46840 est une vulnérabilité CVSS 10.0 dans Oracle REST Data Services 24.2.0-26.1.0. Un attaquant non authentifié peut compromettre entièrement l'instance via HTTPS. Patch via Oracle CSPU May 2026.
CVE-2026-9082 : SQLi critique Drupal PostgreSQL, KEV CISA
Injection SQL non authentifiée CVSS 9.8 dans Drupal Core sur PostgreSQL, activement exploitée et inscrite au CISA KEV le 22 mai 2026. Patch obligatoire immédiat.
Gogs 0-day RCE non patchée : injection argument Git, Metasploit dispo
Vulnérabilité 0-day CVSSv4 9.4 dans Gogs : injection d'argument Git menant à une RCE, module Metasploit public, aucun patch après 70 jours de signalement.
CVE-2026-44277 : RCE non-auth FortiAuthenticator CVSS 9.8 (FG-IR-26-128)
CVE-2026-44277 : RCE non authentifiée CVSS 9.8 dans Fortinet FortiAuthenticator 6.4–8.0. Contrôle d'accès manquant sur l'API REST d'administration. Patch urgent FG-IR-26-128.
CVE-2026-0073 : RCE Zero-Click Android ADB Wireless (CVSS 9.8)
CVE-2026-0073 permet à un attaquant sur le même réseau Wi-Fi d'exécuter du code à distance sans clic sur tout appareil Android 14-16 non patché. Mise à jour vers le correctif de sécurité Android mai 2026 immédiatement.
CVE-2026-42945 NGINX Rift : heap overflow RCE non-auth (CVSS 9.2)
CVE-2026-42945, baptisée NGINX Rift, est une faille de 18 ans dans le module Rewrite de NGINX activement exploitée. RCE sans authentification sur des millions de serveurs web. Patch : NGINX 1.30.1.
Stormshield SNS : vulnérabilités 2026 et avis CERTFR-2026-AVI-0631 (CVE-2025-9086)
Analyse des avis CERT-FR 2026 sur Stormshield SNS : CERTFR-2026-AVI-0631 (CVE-2025-9086, libcurl CVSS 2.7 Low, déni de service) et CERTFR-2026-AVI-0219 (bypass VPN SSL CVSS 5.1, SNS 5.0.2-5.0.4 EA). Correctifs disponibles.
CVE-2026-0300 : RCE root PAN-OS Palo Alto exploité activement (CVSS 9.3)
CVE-2026-0300 (CVSS 9.3) : buffer overflow dans le portail User-ID de PAN-OS permet un RCE root sans authentification sur les pare-feux Palo Alto PA-Series et VM-Series. Exploitation active confirmée par le vendor, ajouté au KEV CISA le 6 mai 2026.
CVE-2026-41096 : RCE CVSS 9.8 Windows DNS Client — patch Patch Tuesday urgent
CVE-2026-41096 (CVSS 9.8) : heap buffer overflow dans le client DNS Windows permet un RCE sans authentification. Tous les Windows 11 et Windows Server 2022/2025 sont concernés — patch Patch Tuesday mai 2026, exploitation probable avant le 12 juin 2026.
CVE-2026-41940 : bypass authentification cPanel WHM (CVSS 9.8, KEV CISA)
CVE-2026-41940 (CVSS 9.8) : injection CRLF dans cPanel & WHM permet un bypass authentification root sans credentials. 1,5M serveurs exposés, exploitation active depuis février 2026, PoC public disponible, KEV CISA.