Actualités & Veille Tech
Cybersécurité · Intelligence artificielle · Cloud · DevSecOps · Réseaux
Cushman & Wakefield : 50 Go Salesforce par ShinyHunters
Le géant de l'immobilier Cushman & Wakefield voit 50 Go de données Salesforce publiés par ShinyHunters après refus de paiement. Vecteur initial : vishing contre un employé. Risque BEC majeur sur tout l'écosystème.
Dernières actus
Apache CVE-2026-23918 : double-free HTTP/2 et RCE sur httpd
Une vulnérabilité critique de type double-free dans mod_http2 d'Apache 2.4.66 permet un déni de service trivial et une exécution de code à distance. Patch disponible dans la 2.4.67, upgrade immédiat recommandé.
Hugging Face piégé : un faux OpenAI Privacy Filter
Le dépôt Open-OSS/privacy-filter typosquatté sur Hugging Face a piégé 244 000 utilisateurs avec un infostealer Rust ciblant cookies, mots de passe et crypto.
Patch Tuesday : Windows Shell zero-day et Secure Boot
Microsoft publie KB5083631 corrigeant CVE-2026-32202 Windows Shell zero-day exploité ; dernière fenêtre pour renouveler les certificats Secure Boot avant le 26 juin.
Bleeding Llama : 300 000 serveurs Ollama fuient leur mémoire
CVE-2026-7482 « Bleeding Llama » permet à un attaquant non authentifié de lire la mémoire entière de 300 000 serveurs Ollama exposés. Patch 0.17.1 urgent.
AWS et Google ouvrent la voie au multicloud privé en mai
AWS Interconnect multicloud passe en disponibilité générale avec Google Cloud, palier gratuit de 500 Mbps par région et Azure attendu fin 2026.
Mistral Medium 3.5 et Vibe : la French Tech passe au cloud
Mistral AI dévoile Medium 3.5 (128B, 256k contexte, 77,6 % SWE-Bench) et bascule ses agents Vibe vers le cloud avec intégrations GitHub, Jira et Sentry.
Google intercepte le premier zero-day généré par une IA
Google Threat Intelligence Group documente le 11 mai 2026 le premier exploit zero-day généré par une IA, ciblant le 2FA d'une plateforme open source largement déployée.
Spring AI : trois CVE HIGH menacent les apps Java IA
VMware publie le 9 mai 2026 trois vulnérabilités HIGH dans Spring AI 1.0.x et 1.1.x : injection MilvusVectorStore (CVSS 8.6), fuite Chat Memory, prompt injection persistante. Patch obligatoire 1.0.7 ou 1.1.6.
n8n Ni8mare CVE-2026-21858 : RCE non-auth CVSS 10.0
CVE-2026-21858 baptisée Ni8mare : RCE non-authentifiée CVSS 10.0 sur n8n auto-hébergé via confusion Content-Type des Form Webhooks. Patch obligatoire en 1.121.0.