Alertes CVE & Vulnérabilités
CVE critiques · Exploitations actives · 0-day · Correctifs urgents · Alertes CERT-FR
CVE-2026-7896 : RCE critique Chrome Blink integer overflow
Chrome 148 corrige CVE-2026-7896, integer overflow critique CVSS 9.6 dans Blink permettant RCE drive-by. PoC public depuis le 7 mai 2026, patch immédiat impératif.
Dernières alertes
CVE-2026-42354 : prise de compte Sentry via SAML SSO (9.1)
Sentry self-hosted multi-org affecté par CVE-2026-42354 (CVSS 9.1) : prise de contrôle de compte via SAML SSO forgé. Patcher vers 26.4.1 sans délai.
CVE-2026-42569 : bypass auth phpVMS import legacy (CVSS 9.4)
phpVMS jusqu'à 7.0.5 affecté par CVE-2026-42569 : bypass d'authentification sur endpoints d'import legacy, CVSS 9.4. Mise à jour 7.0.6 obligatoire.
CVE-2026-37709 : RCE critique Snipe-IT via upload (9.8)
CVE-2026-37709 : RCE CVSS 9.8 dans Snipe-IT via upload de fichiers aux permissions insécurisées. Mise à jour requise pour les versions 8.4.0 et antérieures.
CVE-2026-42454 : RCE critique Termix via containerId (9.9)
CVE-2026-42454 : RCE CVSS 9.9 dans Termix via injection de commande OS sur le paramètre containerId non assaini. Correctif 2.1.0 publié le 8 mai 2026.
CVE-2026-42208 : SQL injection LiteLLM proxy IA au KEV
CVE-2026-42208 : SQL injection pré-authentifiée dans le proxy LiteLLM exploitée 36 heures après divulgation. Ajoutée au KEV de la CISA le 8 mai 2026.
CVE-2026-43997 : vm2 sandbox escape RCE (CVSS 10.0)
CVE-2026-43997, 44005 et 44006 (CVSS 10.0) : douze sandbox escapes critiques dans vm2 Node.js, dont deux non patchés en 3.11.1. Migration urgente recommandée.
CVE-2026-6973 : Ivanti EPMM zero-day RCE actif au KEV
CVE-2026-6973 : zero-day Ivanti EPMM exploité in-the-wild, RCE post-authentification administrateur, ajouté au KEV CISA avec échéance fédérale au 10 mai 2026.
CVE-2026-0300 : RCE root PAN-OS Captive Portal exploité
CVE-2026-0300 : buffer overflow non authentifié dans le User-ID Authentication Portal de PAN-OS, RCE root activement exploité, ajouté au KEV CISA le 6 mai 2026.
CVE-2026-1603 : Ivanti EPM auth bypass exploité (CVSS 8.6)
CVE-2026-1603 : auth bypass non authentifié dans Ivanti Endpoint Manager (CVSS 8.6) permettant l'extraction des credentials Domain Admin du vault EPM. Exploitation active, KEV CISA.
CVE-2026-0625 : RCE D-Link DSL EoL exploité (CVSS 9.3)
CVE-2026-0625 : injection de commandes non authentifiée sur routeurs D-Link DSL EoL (CVSS 9.3). Exploitation in-the-wild active, aucun patch — remplacement matériel obligatoire.
CVE-2026-23918 : RCE Apache HTTP/2 double-free (CVSS 8.8)
CVE-2026-23918 : double-free dans mod_http2 d'Apache HTTP Server (CVSS 8.8). Patch urgent vers 2.4.67 publié le 4 mai 2026, exploitation potentielle RCE.
CVE-2026-42796 : Arelle RCE non-auth via plugin loading
Arelle CVE-2026-42796 (CVSS 9.8) : RCE non authentifiée via /rest/configure, exécution de Python arbitraire. Patcher en 2.39.10 immédiatement.
CVE-2026-42809 : Apache Polaris credential vending RCE (9.9)
Apache Polaris CVE-2026-42809 (CVSS 9.9) : portée de credentials manipulable via stage create, accès arbitraire aux buckets S3/GCS du data lake.
CVE-2026-42369 : GeoVision GV-VMS V20 RCE SYSTEM (CVSS 10.0)
Stack overflow non authentifié dans GV-VMS V20 (CVSS 10.0) : exécution de code SYSTEM via le WebCam Server. Vidéosurveillance GeoVision exposée.