Alertes CVE & Vulnérabilités
CVE critiques · Exploitations actives · 0-day · Correctifs urgents · Alertes CERT-FR
CVE-2026-48172 : root via LiteSpeed cPanel Plugin (CVSS 10)
CVE-2026-48172 (CVSS 10.0) permet à tout utilisateur cPanel d'exécuter des scripts arbitraires en tant que root via un endpoint JSON-API non sécurisé du plugin LiteSpeed. Exploitation active confirmée — patch urgent vers la version 2.4.7.
Dernières alertes
CVE-2026-2743 : RCE SEPPMail pré-auth, trafic mail exposé
CVE-2026-2743 (CVSS 10.0) : RCE pré-authentifiée dans SEPPMail Secure E-Mail Gateway via path traversal dans le composant LFT. Compromission totale de la passerelle email et accès à tout le trafic mail en clair. Patch : SEPPMail 15.0.4.
Dirty Frag CVE-2026-43284 : LPE root Linux, PoC public
Dirty Frag combine CVE-2026-43284 (CVSS 8.8, module ESP/IPsec) et CVE-2026-43500 (RxRPC) pour une escalade vers root déterministe sur toutes les distributions Linux majeures. PoC public disponible, exploitation active confirmée par Microsoft Security Blog.
CVE-2026-34926 : Trend Micro Apex One exploité, CISA KEV
CVE-2026-34926, un directory traversal dans Trend Micro Apex One on-premise, est activement exploité et référencé au catalogue KEV de la CISA depuis le 21 mai 2026 — deadline fédérale au 4 juin 2026.
CVE-2025-71243 : RCE non-auth SPIP Saisies, CERT-FR alerte
CVE-2025-71243 est une injection PHP non-authentifiée dans le plugin Saisies de SPIP (versions 5.4.0-5.11.0) permettant une RCE complète. Un module Metasploit public automatise l'attaque — tous les sites SPIP avec Formidable sont exposés.
CVE-2026-40372 : SYSTEM via cookies forgés ASP.NET Core (CVSS 9.1)
CVE-2026-40372, CVSS 9.1, est une faille cryptographique critique dans ASP.NET Core Data Protection (.NET 10) permettant à un attaquant non-authentifié de forger des cookies d'authentification et d'obtenir les privilèges SYSTEM. Patch d'urgence Microsoft disponible.
CVE-2026-20223 : accès admin non-auth Cisco Workload (CVSS 10.0)
CVE-2026-20223, divulguée le 21 mai 2026, affecte Cisco Secure Workload avec un CVSS maximal de 10.0. Un attaquant distant non authentifié peut obtenir les droits Site Admin complets via l'API REST interne sans aucune interaction utilisateur.
CVE-2025-34291 : Langflow exploité activement, ajouté au KEV CISA
CVE-2025-34291 affecte Langflow, la plateforme d'orchestration d'agents IA. La CISA a ajouté cette faille CORS au KEV le 21 mai 2026 après confirmation d'exploitation active permettant vol de tokens et exécution de code arbitraire côté serveur.
CVE-2026-34263 : RCE non-auth SAP Commerce Cloud Spring Security (CVSS 9.6)
CVE-2026-34263 (CVSS 9.6) affecte SAP Commerce Cloud : une mauvaise configuration Spring Security permet à un attaquant non authentifié d'uploader une configuration malveillante et d'exécuter du code arbitraire côté serveur. Correctif disponible dans le SAP Patch Day de mai 2026.
CVE-2026-41091 : Defender EoP et DoS ajoutés au KEV CISA
La CISA a ajouté le 20 mai 2026 deux failles critiques de Microsoft Defender à son catalogue KEV : CVE-2026-41091 (élévation de privilèges) et CVE-2026-45498 (DoS), toutes deux exploitées activement.
CVE-2026-35616 : RCE non-auth FortiClient EMS (CVSS 9.8)
CVE-2026-35616 est un zero-day RCE non authentifié (CVSS 9.8) dans Fortinet FortiClient EMS, exploité activement depuis le 31 mars 2026 et ajouté au KEV CISA le 6 avril 2026. Patch disponible en version 7.4.7.
CVE-2026-6973 : RCE Ivanti EPMM exploité en 0-day (KEV CISA)
CVE-2026-6973 est une RCE dans Ivanti EPMM exploitée activement en 0-day via des credentials volés lors de CVE-2026-1340 (janvier 2026). CISA KEV du 7 mai 2026, patch disponible en versions 12.6.1.1, 12.7.0.1 et 12.8.0.1.
CVE-2026-40402 : VM escape Hyper-V use-after-free (CVSS 9.3)
Faille use-after-free critique dans Windows Hyper-V (CVSS 9.3) permettant l'execution de code depuis une VM invitee vers l'hote physique avec droits SYSTEM. Correctif disponible depuis le Patch Tuesday du 12 mai 2026.
CVE-2026-35435 : Azure AI Foundry M365 exploitee (CVSS 8.6)
Controle d'acces defaillant dans Azure AI Foundry (CVE-2026-35435, CVSS 8.6) permet a un attaquant non authentifie d'elever ses privileges via les agents Microsoft 365 publies. Exploitation active confirmee avant divulgation publique le 7 mai 2026.
YellowKey : 0-day BitLocker bypass WinRE et GreenPlasma LPE SYSTEM
Deux zero-days Windows 11 sans correctif divulgues avec PoC public : YellowKey contourne BitLocker via Windows Recovery Environment avec une cle USB, GreenPlasma exploite CTFMON.EXE pour obtenir des droits SYSTEM. Microsoft n'a pas encore publie de patch.