Alertes CVE & Vulnérabilités
CVE critiques · Exploitations actives · 0-day · Correctifs urgents · Alertes CERT-FR
CVE-2026-0073 : RCE zero-click Android ADB (CVSS 9.8)
CVE-2026-0073 est une faille RCE zero-click CVSS 9.8 dans Android ADB sans fil affectant 2,8 milliards d'appareils — le patch d'urgence Google est disponible depuis le 5 mai 2026.
Dernières alertes
CVE-2026-21877 : RCE CVSS 10.0 critique dans n8n
CVE-2026-21877 est une faille RCE de gravité CVSS 10.0 dans n8n permettant à un utilisateur authentifié d'exécuter du code arbitraire sur le serveur — mise à jour vers 1.121.3 obligatoire.
CVE-2026-42823 : escalade CVSS 9.9 Azure Logic Apps
CVE-2026-42823 est une escalade de privilèges CVSS 9.9 dans Azure Logic Apps permettant à un attaquant authentifié d'accéder à des ressources Azure critiques non autorisées — patch Patch Tuesday mai 2026.
CVE-2026-0300 : RCE non-auth Palo Alto PAN-OS (CVSS 9.3)
CVE-2026-0300 est un zero-day critique (CVSS 9.3) affectant Palo Alto PAN-OS : un débordement de tampon heap dans le portail User-ID permet une RCE sans authentification. Exploitation active confirmée, ajout immédiat au catalogue KEV de la CISA.
CVE-2026-42945 NGINX Rift : RCE 18 ans dans le module
CVE-2026-42945 « NGINX Rift » (CVSS 9.2) est un débordement de tampon heap vieux de 18 ans dans le module ngx_http_rewrite_module de NGINX, permettant un DoS sans authentification et une RCE potentielle. PoC public disponible, exploitation active confirmée dès J+4.
CVE-2026-44194 : RCE root OPNsense via injection de commande
CVE-2026-44194 (CVSS 9.1) permet l'exécution de code root sur OPNsense via un nom d'utilisateur email malformé. CVE-2026-45158 complémentaire (CVSS 9.1) permet RCE root sans credentials via injection DHCP. Patch : OPNsense 26.1.8.
CVE-2026-3854 : RCE GitHub Enterprise Server via git push
GitHub Enterprise Server est vulnérable à CVE-2026-3854, une injection de commande dans babeld permettant la RCE via git push. 88% des instances restaient non patchées à la divulgation.
CVE-2026-8111 : SQLi RCE Ivanti Endpoint Manager (8.8)
Ivanti corrige CVE-2026-8111, une injection SQL dans la console web Endpoint Manager menant à RCE pour tout compte authentifié. Patch 2024 SU6 urgent.
CVE-2026-34486 : RCE non-auth Apache Tomcat Tribes (cluster)
Apache Tomcat patche CVE-2026-34486, une régression du EncryptInterceptor permettant une RCE non authentifiée via désérialisation Java sur port 4000. PoC publics disponibles.
CVE-2026-8043 : Ivanti Xtraction lecture/écriture web
Ivanti corrige une faille critique dans Xtraction (CVE-2026-8043, CVSS 9.6) permettant à un utilisateur faiblement privilégié de lire des fichiers sensibles et d'écrire du HTML arbitraire dans le répertoire web — XSS stocké et élévation de privilèges à la clé.
CVE-2026-26083 : RCE non-auth FortiSandbox via Web UI
Fortinet patche en urgence une RCE non authentifiée dans FortiSandbox (CVE-2026-26083, CVSS 9.1) affectant on-prem, Cloud et PaaS. Builds correctifs 5.0.2, 4.4.7 et 4.2.8 disponibles — patcher sous 48h.
CVE-2026-42897 : zero-day Exchange OWA exploité en XSS
Microsoft confirme l'exploitation active d'une faille XSS dans Outlook Web Access (CVE-2026-42897, CVSS 8.1). Exchange Server 2016, 2019 et Subscription Edition sont vulnérables — aucun patch disponible, mitigations EEMS à activer en urgence.
CVE-2026-40365 : RCE SharePoint 2019 par désérialisation
CVE-2026-40365 expose les serveurs SharePoint 2019 à une exécution de code à distance via désérialisation d'objet sur un endpoint web. Patch KB5002870 du Patch Tuesday de mai 2026 requis pour tout déploiement on-prem encore en production.
CVE-2026-42898 : RCE Dynamics 365 on-prem (CVSS 9.9)
CVE-2026-42898 (CVSS 9.9) frappe Microsoft Dynamics 365 on-prem : code injection exploitable par tout utilisateur authentifié, sans interaction, avec changement de portée. Le Patch Tuesday de mai 2026 est obligatoire pour tout déploiement CRM hébergé en interne.
CVE-2026-40361 : RCE Outlook zero-click via DLL Word
Microsoft a corrigé CVE-2026-40361, une vulnérabilité use-after-free zero-click dans Outlook qui permet l'exécution de code à distance par simple aperçu d'un email piégé. Comparée à la faille BadWinmail, elle vise directement dirigeants et environnements bureautiques.