● CERT-FR Alertes 📅 07/04/2026 à 02:00

Objet: Bulletin d'actualité CERTFR-2026-ACT-015

Cybersécurité
Illustration
Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 07 avril 2026 N° CERTFR-2026-ACT-015 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-015 Gestion du document Référence CERTFR-2026-ACT-015 Titre Bulletin d'actualité CERTFR-2026-ACT-015 Date de la première version07 avril 2026 Date de la dernière version07 avril 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 14 Tableau récapitulatif : Vulnérabilités critiques du 30/03/26 au 05/04/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Elastic OpenTelemetry Java CVE-2021-44228 10 (NVD) Exécution de code arbitraire à distance 30/03/2026 Exploitée CERTFR-2026-AVI-0379 https://discuss.elastic.co/t/elastic-otel-java-1-10-0-security-update-esa-2026-22-ghsa-xw7x-h9fj-p2c7/385700 Google Chrome CVE-2026-5281 8.8 (NVD) Non spécifié par l'éditeur 02/04/2026 Exploitée CERTFR-2026-AVI-0385 https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html Microsoft Edge CVE-2026-5281 8.8 (NVD) Non spécifié par l'éditeur 02/04/2026 Exploitée CERTFR-2026-AVI-0385 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5281 Ubuntu 25.10 CVE-2025-68263 9.8 (NVD) Non spécifié par l'éditeur 01/04/2026 Pas d'information CERTFR-2026-AVI-0397 https://ubuntu.com/security/notices/USN-8094-5 Cisco Smart Software Manager On-Prem CVE-2026-20160 9.8 (NVD) Exécution de code arbitraire à distance 01/04/2026 Pas d'information CERTFR-2026-AVI-0388 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ssm-cli-execution-cHUcWuNr Cisco NFVIS, Integrated Management Controller (IMC) CVE-2026-20093 9.8 (NVD) Contournement de la politique de sécurité 01/04/2026 Pas d'information CERTFR-2026-AVI-0388 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-auth-bypass-AgG2BxTn Elastic Elasticsearch CVE-2015-5377 9.8 (NVD) Exécution de code arbitraire à distance, Non spécifié par l'éditeur 30/03/2026 Pas d'information CERTFR-2026-AVI-0379 https://discuss.elastic.co/t/elastic-otel-java-1-10-0-security-update-esa-2026-22-ghsa-xw7x-h9fj-p2c7/385700 Microsoft Azure Linux, CBL Mariner CVE-2025-69720 9.8 (NVD) Non spécifié par l'éditeur 25/03/2026 Pas d'information CERTFR-2026-AVI-0376 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-69720 Google Chrome CVE-2026-5289 9.6 (NVD) Contournement de la politique de sécurité 02/04/2026 Pas d'information CERTFR-2026-AVI-0385 https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html Microsoft Edge CVE-2026-5289 9.6 (NVD) Contournement de la politique de sécurité 02/04/2026 Pas d'information CERTFR-2026-AVI-0385 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5289 Google Chrome CVE-2026-5290 9.6 (NVD) Contournement de la politique de sécurité 02/04/2026 Pas d'information CERTFR-2026-AVI-0385 https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html Microsoft Edge CVE-2026-5290 9.6 (NVD) Contournement de la politique de sécurité 02/04/2026 Pas d'information CERTFR-2026-AVI-0385 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5290 Google Chrome CVE-2026-5288 9.6 (NVD) Contournement de la politique de sécurité 31/03/2026 Pas d'information CERTFR-2026-AVI-0385 https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html Elastic OpenTelemetry Java CVE-2026-33701 9.3 (NVD) Exécution de code arbitraire à distance 30/03/2026 Pas d'information CERTFR-2026-AVI-0379 https://discuss.elastic.co/t/elastic-otel-java-1-10-0-security-update-esa-2026-22-ghsa-xw7x-h9fj-p2c7/385700 Microsoft Azure Linux CVE-2026-33526 9.2 (NVD) Déni de service à distance 27/03/2026 Pas d'information CERTFR-2026-AVI-0376 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33526 Rappel des alertes CERT-FR Vulnérabilité dans F5 BIG-IP Access Policy Manager Le 15 octobre 2025, F5 a publié un avis de sécurité concernant entre autres la vulnérabilité CVE-2025-53521. Celle-ci affecte BIG-IP APM et permet à un attaquant non authentifié d'exécuter du code à distance. Le 29 mars 2026, l'éditeur indique que cette vulnérabilité est exploitée activement. Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par F5 dans son billet de blogue [1]. Liens : Bulletin de sécurité F5 K000156741Considérations et conseils à suivre si vous soupçonnez une faille de sécurité sur un système BIG-IP[1] Marqueur de compromission pour c05d5254Avis CERT-FR CERTFR-2025-AVI-0886 du 16 octobre 2025CVE-2025-53521 Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Citrix NetScaler ADC, NetScaler Gateway CVE-2026-3055 9.3 Atteinte à la confidentialité des données 23/03/2026 Exploitée https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300 Google Chrome CVE-2025-10891 8.8 Exécution de code arbitraire à distance 24/09/2025Code d'exploitation publichttps://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_23.html Microsoft Edge CVE-2025-10891 8.8 Exécution de code arbitraire à distance 24/09/2025Code d'exploitation publichttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-10891 Google Chrome CVE-2025-2135 8.8 Contournement de la politique de sécurité 11/03/2025Code d'exploitation publichttps://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_10.html Microsoft Edge CVE-2025-2135 8.8 Contournement de la politique de sécurité 11/03/2025Code d'exploitation publichttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-2135 Incident de sécurité concernant le paquet Axios pour node Un incident de compromission de la chaîne d’approvisionnement (supply chain) a affecté Axios via l’écosystème npm. Des versions malveillantes, v1.14.1 et v1.30.4, ont été déployées dans l'écosystème de gestion de paquets node, permettant l'extraction de l'exfiltration de données sensibles ou l'exécution de code malveillant. Le CERT-FR recommande la vérification et la mise à jour des paquets Axios. Liens https://blog.talosintelligence.com/axois-npm-supply-chain-incident/ Rappel des publications émises Dans la période du 30 mars 2026 au 05 avril 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0373 : Vulnérabilité dans Roundcube CERTFR-2026-AVI-0374 : Vulnérabilité dans Docker Desktop CERTFR-2026-AVI-0375 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0376 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0377 : Multiples vulnérabilités dans Papercut CERTFR-2026-AVI-0378 : Vulnérabilité dans Symantec Data Loss Prevention (DLP) CERTFR-2026-AVI-0379 : Vulnérabilité dans Elastic OpenTelemetry Java CERTFR-2026-AVI-0380 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0381 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0382 : Multiples vulnérabilités dans les produits FoxIT CERTFR-2026-AVI-0383 : Multiples vulnérabilités dans Sonicwall Email Security CERTFR-2026-AVI-0384 : Multiples vulnérabilités dans Joomla! CERTFR-2026-AVI-0385 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0386 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0387 : Multiples vulnérabilités dans les produits Netgate CERTFR-2026-AVI-0388 : Multiples vulnérabilités dans les produits Cisco CERTFR-2026-AVI-0389 : Vulnérabilité dans Microsoft Azure Linux CERTFR-2026-AVI-0390 : Multiples vulnérabilités dans Belden NetModule Router Software CERTFR-2026-AVI-0391 : Multiples vulnérabilités dans OpenSSH CERTFR-2026-AVI-0392 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0393 : Vulnérabilité dans Synology Mail Station CERTFR-2026-AVI-0394 : Multiples vulnérabilités dans VMware Tanzu CERTFR-2026-AVI-0395 : Multiples vulnérabilités dans les produits IBM CERTFR-2026-AVI-0396 : Multiples vulnérabilités dans le noyau Linux de Red Hat CERTFR-2026-AVI-0397 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu CERTFR-2026-AVI-0398 : Multiples vulnérabilités dans le noyau Linux de SUSE CERTFR-2026-ALE-004 : Vulnérabilité dans F5 BIG-IP Access Policy Manager Gestion détaillée du document le 07 avril 2026 Version initiale
← Retour