● CERT-FR Alertes 📅 26/05/2026 à 00:00

Objet: Bulletin d'actualité CERTFR-2026-ACT-023

Cybersécurité
Illustration
Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 26 mai 2026 N° CERTFR-2026-ACT-023 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-023 Gestion du document Référence CERTFR-2026-ACT-023 Titre Bulletin d'actualité CERTFR-2026-ACT-023 Date de la première version26 mai 2026 Date de la dernière version26 mai 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 21 Tableau récapitulatif : Vulnérabilités critiques du 18/05/26 au 24/05/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Drupal Drupal CVE-2026-9082 9.8 (NVD) Injection SQL (SQLi) 20/05/2026ExploitéeCERTFR-2026-AVI-0629 https://drupal.org/sa-core-2026-004 F5 NGINX CVE-2026-42945 9.2 (NVD) Exécution de code arbitraire à distance, Déni de service à distance 19/05/2026 Exploitée CERTFR-2026-AVI-0612 https://my.f5.com/manage/s/article/K000161307 Microsoft Azure CVE-2026-42945 9.2 (NVD) Exécution de code arbitraire à distance, Déni de service à distance 19/05/2026 Exploitée CERTFR-2026-AVI-0612 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42945 Microsoft Malware Protection Engine CVE-2026-41091 7.8 (NVD) Contournement de la politique de sécurité 19/05/2026 Exploitée CERTFR-2026-AVI-0623 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41091 Microsoft Defender Antimalware Platform CVE-2026-45498 7.5 (NVD) Déni de service 19/05/2026 Exploitée CERTFR-2026-AVI-0623 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498 Trend Micro Apex One, Vision One CVE-2026-34926 6.7 (NVD) Contournement de la politique de sécurité 21/05/2026 Exploitée CERTFR-2026-AVI-0642 https://success.trendmicro.com/en-US/solution/KA-0023430 Microsoft Windows Server 2025, Windows 11 25H2, Windows 11 24H2, Windows 11 26H1 CVE-2026-45585 6.8 (NVD) Contournement de la politique de sécurité 19/05/2026Code d'exploitation publicCERTFR-2026-AVI-0622 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585 Cisco Secure Workload CVE-2026-20223 10 (NVD) Contournement de la politique de sécurité 20/05/2026 Pas d'information CERTFR-2026-AVI-0628 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csw-pnbsa-g8WEnuy Microsoft Azure CVE-2026-42822 10 (NVD) Contournement de la politique de sécurité 18/05/2026 Pas d'information CERTFR-2026-AVI-0611 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42822 Ubuntu Ubuntu CVE-2026-22984 9.8 (NVD) Atteinte à la confidentialité des données 20/05/2026 Pas d'information CERTFR-2026-AVI-0638 https://ubuntu.com/security/notices/USN-8278-1https://ubuntu.com/security/notices/USN-8289-1 Ubuntu Ubuntu CVE-2026-31533 9.8 (NVD) Non spécifié par l'éditeur 20/05/2026 Pas d'information CERTFR-2026-AVI-0638 https://ubuntu.com/security/notices/USN-8280-1https://ubuntu.com/security/notices/USN-8279-1https://ubuntu.com/security/notices/USN-8278-1https://ubuntu.com/security/notices/USN-8277-1https://ubuntu.com/security/notices/USN-8289-1 Ubuntu Ubuntu CVE-2026-23112 9.8 (NVD) Non spécifié par l'éditeur 19/05/2026 Pas d'information CERTFR-2026-AVI-0638 https://ubuntu.com/security/notices/USN-8275-1https://ubuntu.com/security/notices/USN-8255-3https://ubuntu.com/security/notices/USN-8254-3https://ubuntu.com/security/notices/USN-8273-1 IBM Db2 CVE-2025-59059 9.8 (NVD) Exécution de code arbitraire à distance, Exécution de code arbitraire 18/05/2026 Pas d'information CERTFR-2026-AVI-0641 https://www.ibm.com/support/pages/node/7273312 IBM Db2 CVE-2026-29045 9.8 (NVD) Contournement de la politique de sécurité 18/05/2026 Pas d'information CERTFR-2026-AVI-0641 https://www.ibm.com/support/pages/node/7273312 Microsoft Edge Chromium CVE-2026-45495 9.8 (NVD) Exécution de code arbitraire à distance 15/05/2026 Pas d'information CERTFR-2026-AVI-0607 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45495 Microsoft Edge CVE-2026-8511 9.6 (NVD) Contournement de la politique de sécurité 15/05/2026 Pas d'information CERTFR-2026-AVI-0607 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-8511 Microsoft Edge CVE-2026-8580 9.6 (NVD) Contournement de la politique de sécurité 15/05/2026 Pas d'information CERTFR-2026-AVI-0607 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-8580 F5 NGINX CVE-2026-8711 9.2 (NVD) Exécution de code arbitraire à distance 19/05/2026 Pas d'information CERTFR-2026-AVI-0619 https://my.f5.com/manage/s/article/K000161307 Microsoft Azure CVE-2026-33845 9.1 (NVD) Déni de service à distance, Atteinte à la confidentialité des données 07/05/2026 Pas d'information CERTFR-2026-AVI-0612 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33845 CVE-2026-9082 : Vulnérabilité dans Drupal La vulnérabilité CVE-2026-9082 permet une injection SQL (SQLi) sur les applications vulnérables qui utilisent PostgreSQL comme système de gestion de base de données. Des codes d'attaques sont publiquement disponibles pour cette vulnérabilité et celle-ci est activement exploitée. Liens : https://cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0629/ https://drupal.org/sa-core-2026-004 Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Microsoft Windows Server 2008, Windows Vista, Windows Xp, Windows Server 2003, Windows 2000 CVE-2008-4250 9.8 Exécution de code arbitraire à distance Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-067https://exchange.xforce.ibmcloud.com/vulnerabilities/46040https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2008-4250 Langflow Langflow CVE-2025-34291 9.4 Exécution de code arbitraire à distance Exploitée https://github.com/langflow-ai/langflowhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-34291https://www.crowdsec.net/vulntracking-report/cve-2025-34291 Microsoft Windows 2003 Server, Windows Xp, Directx, Windows Server 2003, Windows 2000 CVE-2009-1537 8.8 Exécution de code arbitraire à distance, Non spécifié par l'éditeur Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-028https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-1537 Adobe Acrobat, Acrobat Reader CVE-2009-3459 8.8 Exécution de code arbitraire à distance Exploitée http://blogs.adobe.com/psirt/2009/10/adobe_reader_and_acrobat_issue_1.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-3459 Microsoft Internet Explorer CVE-2010-0249 8.8 Exécution de code arbitraire à distance, Contournement de la politique de sécurité Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-002https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-0249 Microsoft Internet Explorer CVE-2010-0806 8.8 Exécution de code arbitraire à distance Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-018
← Retour