● CERT-FR Alertes
📅 20/04/2026 à 02:00
Objet: Bulletin d'actualité CERTFR-2026-ACT-018
Cybersécurité
🏷️ Tags :
cve
élévation de privilèges
exécution de code
vulnérabilités
cert
kubernetes
python
red hat
rte
siem
ubuntu
Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 20 avril 2026 N° CERTFR-2026-ACT-018 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-018 Gestion du document Référence CERTFR-2026-ACT-018 Titre Bulletin d'actualité CERTFR-2026-ACT-018 Date de la première version20 avril 2026 Date de la dernière version20 avril 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 16 Tableau récapitulatif : Vulnérabilités critiques du 13/04/26 au 19/04/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Microsoft Defender CVE-2026-33825 7.8 (NVD) Élévation de privilèges 14/04/2026 Exploitée CERTFR-2026-AVI-0445 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825 Adobe Acrobat, Acrobat DC, Acrobat Reader DC CVE-2026-34621 8.6 (NVD) Exécution de code arbitraire 11/04/2026 Exploitée CERTFR-2026-AVI-0429 https://helpx.adobe.com/security/products/acrobat/apsb26-43.html Microsoft Sharepoint Server CVE-2026-32201 6.5 (NVD) Contournement de la politique de sécurité 14/04/2026 Exploitée CERTFR-2026-AVI-0445 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201 Fortinet FortiProxy, FortiPAM, FortiOS, FortiSwitchManager CVE-2025-61624 6 (NVD) Contournement de la politique de sécurité 14/04/2026 Exploitée CERTFR-2026-AVI-0440 https://www.fortiguard.com/psirt/FG-IR-26-122 Splunk Splunk Operator for Kubernetes CVE-2025-68121 10 (NVD) Contournement de la politique de sécurité 15/04/2026 Pas d'information CERTFR-2026-AVI-0450 https://advisory.splunk.com/advisories/SVD-2026-0408 Cisco Identity Services Engine CVE-2026-20147 9.9 (NVD) Exécution de code arbitraire à distance 15/04/2026 Pas d'information CERTFR-2026-AVI-0451 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-traversal-8bYndVrZ Cisco Identity Services Engine CVE-2026-20180 9.9 (NVD) Exécution de code arbitraire à distance 15/04/2026 Pas d'information CERTFR-2026-AVI-0451 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-4fverepv Cisco Identity Services Engine CVE-2026-20186 9.9 (NVD) Exécution de code arbitraire à distance 15/04/2026 Pas d'information CERTFR-2026-AVI-0451 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-4fverepv SAP Business Planning and Consolidation, Business Warehouse CVE-2026-27681 9.9 (NVD) Injection SQL (SQLi) 14/04/2026 Pas d'information CERTFR-2026-AVI-0434 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html Cisco Webex CVE-2026-20184 9.8 (NVD) Contournement de la politique de sécurité 15/04/2026 Pas d'information CERTFR-2026-AVI-0451 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-cui-cert-8jSZYhWL Fortinet FortiSandbox CVE-2026-39808 9.8 (NVD) Exécution de code arbitraire à distance 14/04/2026 Pas d'information CERTFR-2026-AVI-0440 https://www.fortiguard.com/psirt/FG-IR-26-100 Fortinet FortiSandbox CVE-2026-39813 9.8 (NVD) Élévation de privilèges 14/04/2026 Pas d'information CERTFR-2026-AVI-0440 https://www.fortiguard.com/psirt/FG-IR-26-112 Microsoft Windows CVE-2026-33824 9.8 (NVD) Exécution de code arbitraire à distance 14/04/2026 Pas d'information CERTFR-2026-AVI-0442 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33824 Microsoft Edge CVE-2026-5902 9.8 (NVD) Atteinte à l'intégrité des données 10/04/2026 Pas d'information CERTFR-2026-AVI-0427 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5902 Google Chrome CVE-2026-6296 9.6 (NVD) Contournement de la politique de sécurité 15/04/2026 Pas d'information CERTFR-2026-AVI-0448 https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html Microsoft Edge CVE-2026-5874 9.6 (NVD) Contournement de la politique de sécurité 10/04/2026 Pas d'information CERTFR-2026-AVI-0427 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5874 Siemens SCALANCE W-700 CVE-2023-44373 9.4 (NVD) Exécution de code arbitraire à distance 14/04/2026 Pas d'information CERTFR-2026-AVI-0432 https://cert-portal.siemens.com/productcert/html/ssa-019200.html Adobe ColdFusion CVE-2026-27304 9.3 (NVD) Exécution de code arbitraire à distance 14/04/2026 Pas d'information CERTFR-2026-AVI-0438 https://helpx.adobe.com/security/products/coldfusion/apsb26-38.html Splunk Splunk AppDynamics Smart Agent CVE-2025-22871 9.1 (NVD) Contournement de la politique de sécurité 15/04/2026 Pas d'information CERTFR-2026-AVI-0450 https://advisory.splunk.com/advisories/SVD-2026-0406 Siemens Scalance CVE-2022-36323 9.1 (NVD) Exécution de code arbitraire à distance 14/04/2026 Pas d'information CERTFR-2026-AVI-0432 https://cert-portal.siemens.com/productcert/html/ssa-019200.html Tenable Identity Exposure CVE-2025-55130 9.1 (NVD) Atteinte à la confidentialité des données, Contournement de la politique de sécurité 14/04/2026 Pas d'information CERTFR-2026-AVI-0436 https://www.tenable.com/security/tns-2026-11 Python CPython CVE-2026-6100 9.1 (NVD) Non spécifié par l'éditeur 13/04/2026 Pas d'information CERTFR-2026-AVI-0430 https://mail.python.org/archives/list/security-announce@python.org/thread/HTWB2Z6KT5QQX4RYEZAFININDHNOSIF3/ Schneider Electric Modicon, Connexium Managed Switches CVE-2024-3596 9 (NVD) Contournement de la politique de sécurité 14/04/2026 Pas d'information CERTFR-2026-AVI-0433 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-104-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-104-02.pdf Microsoft Power Apps CVE-2026-26149 9 (NVD) Contournement de la politique de sécurité 14/04/2026 Pas d'information CERTFR-2026-AVI-0445 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26149 Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Microsoft Office Compatibility Pack, Office Excel Viewer, Office Excel, Office, Excel Viewer, Excel CVE-2009-0238 8.8 Exécution de code arbitraire à distance 24/02/2009 Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-009https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-0238 Microsoft Exchange Server CVE-2023-21529 8.8 Exécution de code arbitraire à distance 14/02/2023 Exploitée https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21529https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-21529 Microsoft Office, Visual Basic For Applications, Visual Basic For Applications Sdk CVE-2012-1854 7.8 Élévation de privilèges 10/07/2012 Exploitée https://learn.microsoft.com/en-us/security-updates/SecurityBulletins/2012/ms12-046https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2012-1854 Adobe Acrobat Reader Dc, Acrobat Dc CVE-2020-9715 7.8 Exécution de code arbitraire 11/08/2020 Exploitée https://helpx.adobe.com/security/products/acrobat/apsb20-48.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-9715 Microsoft Windows Server 2008, Windows Server 2016, Windows Server 2019, Windows Server 2012, Windows 10 1607, Windows 11 22H2, Windows 10 1809, Windows Server 2022, Windows 10 21H2, Windows 10 1507, Windows 10 22H2, Windows Server 2022 23H2, Windows 11 23H2, Windows 11 21H2 CVE-2023-36424 7.8 Élévation de privilèges 14/11/2023 Exploitée https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36424https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-36424 HAProxy HAProxy CVE-2026-33555 4.0 Contournement de la politique de sécurité 14/04/2026Code d'exploitation publichttps://www.haproxy.com/documentation/haproxy-aloha/changelog/ Rappel des publications émises Dans la période du 13 avril 2026 au 19 avril 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0425 : Vulnérabilité dans Foxit PDF Services API CERTFR-2026-AVI-0426 : Multiples vulnérabilités dans Python CERTFR-2026-AVI-0427 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0428 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0429 : Vulnérabilité dans Adobe Acrobat CERTFR-2026-AVI-0430 : Multiples vulnérabilités dans Python CERTFR-2026-AVI-0431 : Multiples vulnérabilités dans Synology SSL VPN Client CERTFR-2026-AVI-0432 : Multiples vulnérabilités dans les produits Siemens CERTFR-2026-AVI-0433 : Multiples vulnérabilités dans les produits Schneider Electric CERTFR-2026-AVI-0434 : Multiples vulnérabilités dans les produits SAP CERTFR-2026-AVI-0435 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0436 : Multiples vulnérabilités dans Tenable Identity Exposure CERTFR-2026-AVI-0437 : Vulnérabilité dans Python CERTFR-2026-AVI-0438 : Multiples vulnérabilités dans les produits Adobe CERTFR-2026-AVI-0439 : Multiples vulnérabilités dans Ivanti Neurons CERTFR-2026-AVI-0440 : Multiples vulnérabilités dans les produits Fortinet CERTFR-2026-AVI-0441 : Multiples vulnérabilités dans Microsoft Office CERTFR-2026-AVI-0442 : Multiples vulnérabilités dans Microsoft Windows CERTFR-2026-AVI-0443 : Multiples vulnérabilités dans Microsoft .Net CERTFR-2026-AVI-0444 : Multiples vulnérabilités dans Microsoft Azure CERTFR-2026-AVI-0445 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0446 : Multiples vulnérabilités dans Mattermost Server CERTFR-2026-AVI-0447 : Multiples vulnérabilités dans Drupal CERTFR-2026-AVI-0448 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0449 : Vulnérabilité dans Apache Kafka CERTFR-2026-AVI-0450 : Multiples vulnérabilités dans les produits Splunk CERTFR-2026-AVI-0451 : Multiples vulnérabilités dans les produits Cisco CERTFR-2026-AVI-0452 : Multiples vulnérabilités dans le noyau Linux de Red Hat CERTFR-2026-AVI-0453 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu CERTFR-2026-AVI-0454 : Multiples vulnérabilités dans le noyau Linux de SUSE CERTFR-2026-AVI-0455 : Multiples vulnérabilités dans IBM QRadar CERTFR-2026-AVI-0456 : Multiples vulnérabilités dans les produits Microsoft Dans la période du 13 avril 2026 au 19 avril 2026, le CERT-FR a mis à jour les publications suivantes : CERTFR-2026-AVI-0320 : Multiples vulnérabilités dans Roundcube Gestion détaillée du document le 20 avril 2026 Version initiale
🔗 Lire l'article original
👁️ 0 lecture