Actualités & Veille Tech
Cybersécurité · Intelligence artificielle · Cloud · DevSecOps · Réseaux
CISA BOD 26-04 : 72h pour patcher les failles critiques
La CISA publie BOD 26-04 le 10 juin 2026 et impose 72 heures de délai de remédiation pour les vulnérabilités critiques KEV exposées sur internet, citant l'IA comme accélérateur de la menace. Analyse et implications NIS2/DORA.
Dernières actus
Langflow CVE-2026-5027 : RCE sur 7 000 serveurs IA
CVE-2026-5027, faille de traversée de répertoire non patchée dans Langflow, est activement exploitée sur 7 000 instances exposées pour obtenir une exécution de code root sans authentification. Mise à jour vers 1.10.0 requise en urgence.
SpaceX introduit SPCX en bourse à 1 750 milliards
SpaceX fixe le prix de son IPO à 135 dollars par action le 11 juin 2026, valorisant la société à 1 750 milliards et levant 75 milliards — la plus grande introduction en bourse de l'histoire financière mondiale.
NIS2 : J-19 avant le premier audit de conformité obligatoire
Le 30 juin 2026, les entités essentielles et importantes soumises à NIS2 doivent présenter leur premier audit de conformité. En France, entre 15 000 et 18 000 organisations sont concernées par cette première échéance.
CVE-2026-25089 : RCE non authentifiée dans FortiSandbox
CVE-2026-25089 (CVSS 9,8) affecte l'interface web de FortiSandbox et permet à un attaquant non authentifié d'exécuter des commandes OS arbitraires. Fortinet a publié les correctifs 5.0.6 et 4.4.9 le 9 juin 2026.
Proto6 : six failles RCE dans protobuf.js menacent Node.js
Six vulnérabilités critiques (Proto6) dans protobuf.js exposent les applications Node.js à l'exécution de code arbitraire à distance. Un exploit est public depuis le 10 juin 2026 ; la mise à jour vers 7.5.6 ou 8.0.2 est urgente.
Canvas LMS : ShinyHunters vole 275 millions de dossiers étudiants, Instructure paie
ShinyHunters a compromis Canvas LMS le 25 avril 2026, exfiltrant 275 millions de dossiers étudiants issus de 8 809 établissements mondiaux. Instructure a payé la rançon le 11 mai. La plus grande fuite du secteur éducatif de l'histoire.
CVE-2026-0300 : APT chinois CL-STA-1132 exploite les firewalls Palo Alto depuis avril
CVE-2026-0300 est un zero-day RCE sans authentification sur les firewalls Palo Alto Networks, exploité depuis le 9 avril 2026 par le groupe APT CL-STA-1132 lié à la Chine contre des infrastructures critiques nord-américaines. Hotfix disponible.
CVE-2026-3300 : 29 000 tentatives bloquées contre Everest Forms Pro WordPress
Le plugin WordPress Everest Forms Pro est activement exploité via CVE-2026-3300, une RCE sans authentification notée CVSS 9.8. Plus de 29 300 tentatives documentées par Wordfence depuis avril 2026 — appliquez immédiatement la version 1.9.13.
RoguePlanet : un zero-day Defender accorde les droits SYSTEM
Le chercheur Nightmare Eclipse publie RoguePlanet, un exploit zero-day non patché ciblant Microsoft Defender et permettant d'obtenir les droits SYSTEM sur tout Windows 10 ou Windows 11 entièrement à jour.