● CERT-FR Alertes 📅 08/06/2026 à 00:00

Objet: Bulletin d'actualité CERTFR-2026-ACT-025

Cybersécurité
Illustration
Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 08 juin 2026 N° CERTFR-2026-ACT-025 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-025 Gestion du document Référence CERTFR-2026-ACT-025 Titre Bulletin d'actualité CERTFR-2026-ACT-025 Date de la première version08 juin 2026 Date de la dernière version08 juin 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 23 Tableau récapitulatif : Vulnérabilités critiques du 01/06/26 au 07/06/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Cisco Catalyst SD-WAN CVE-2026-20127 10 (NVD) Contournement de la politique de sécurité 04/06/2026 Exploitée CERTFR-2026-AVI-0699 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx Google Android CVE-2025-48595 8.4 (NVD) Élévation de privilèges 01/06/2026 Exploitée CERTFR-2026-AVI-0679 https://source.android.com/docs/security/bulletin/2026/2026-06-01?hl=fr Microsoft Azure Linux CVE-2026-7374 9.9 (NVD) Contournement de la politique de sécurité 31/05/2026 Pas d'information CERTFR-2026-AVI-0685 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7374 Microsoft Edge CVE-2026-9875 9.6 (NVD) Contournement de la politique de sécurité 31/05/2026 Pas d'information CERTFR-2026-AVI-0680 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9875 Microsoft Edge CVE-2026-9876 9.6 (NVD) Contournement de la politique de sécurité 31/05/2026 Pas d'information CERTFR-2026-AVI-0680 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9876 Microsoft Edge CVE-2026-9874 9.6 (NVD) Contournement de la politique de sécurité 29/05/2026 Pas d'information CERTFR-2026-AVI-0680 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9874 Microsoft Edge CVE-2026-9886 9.6 (NVD) Contournement de la politique de sécurité 29/05/2026 Pas d'information CERTFR-2026-AVI-0680 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9886 Microsoft Edge CVE-2026-9918 9.6 (NVD) Contournement de la politique de sécurité 29/05/2026 Pas d'information CERTFR-2026-AVI-0680 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9918 Microsoft Edge CVE-2026-9967 9.6 (NVD) Contournement de la politique de sécurité 29/05/2026 Pas d'information CERTFR-2026-AVI-0680 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9967 Microsoft Edge CVE-2026-9881 9 (NVD) Contournement de la politique de sécurité 29/05/2026 Pas d'information CERTFR-2026-AVI-0680 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9881 CVE-2026-20245 : Vulnérabilité dans Cisco Le 04 juin 2026, Cisco a publié un avis de sécurité relatif à la vulnérabilité CVE-2026-20245 affectant l'interface en ligne de commande de Cisco Catalyst SD-WAN Manager. L'éditeur n'a pas encore produit de version corrective et ne fournit pas de mesure d'atténuation pour cette vulnérabilité. Celle-ci est activement exploitée et permet à un attaquant authentifié d'élever ses privilèges localement. Pour ce faire, l'attaquant doit disposer de privilèges netadmin sur le système ciblé. Ces privilèges peuvent être obtenus via des identifiants valides ou en exploitant les vulnérabilités CVE-2026-20182 ou CVE-2026-20127. Cisco recommande d'appliquer les correctifs de sécurité du 14 mai 2026 afin de se prémunir de la vulnérabilité CVE-2026-20182 et de rechercher les indicateurs de compromission qu'il a fourni. Liens : /avis/CERTFR-2026-AVI-0699/ https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx CVE-2026-49975 : Vulnérabilité dans HTTP/2 Le 02 juin 2026, un chercheur en sécurité a publié un billet de blogue concernant la vulnérabilité CVE-2026-49975, surnomée HTTP/2 Bomb. Cette vulnérablité affecte les configurations HTTP/2 des serveurs web suivant : F5 nginx versions antérieures à 1.29.8 Apache httpd sans le module mod_http2 v2.0.41 Microsoft IIS toutes versions Envoyproxy envoy toutes versions Cloudflare Pingora toute versions Cette vulnérabilité permet à un attaquant non authentifié de provoquer un déni de service à distance. Une preuve de concept est disponible publiquement. Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Mirasvit Full Page Cache Warmer CVE-2026-45247 9.3 Exécution de code arbitraire à distance 26/05/2026 Exploitée https://mirasvit.com/package/changelog/?package=mirasvit/module-cache-warmer NetApp NetApp HCI Baseboard Management Controller (BMC) - H300S/H500S/H700S/H410S, NetApp HCI Compute Node (Bootstrap OS), NetApp SolidFire & HCI Management Node, NetApp HCI Baseboard Management Controller (BMC) - H410C, NetApp SolidFire & HCI Storage Node (Element Software) CVE-2022-0492 7.8 Élévation de privilèges, Contournement de la politique de sécurité 12/03/2026 Exploitée https://security.netapp.com/advisory/NTAP-20220419-0002 Oracle Weblogic Server CVE-2024-21182 7.5 Atteinte à la confidentialité des données 16/07/2024 Exploitée https://www.oracle.com/security-alerts/cpujul2024.html Solarwinds Serv-U CVE-2026-28318 7.5 Déni de service à distance 04/06/2026 Exploitée https://www.solarwinds.com/trust-center/security-advisories/CVE-2026-28318 Microsoft Windows CVE-2026-41089 9.8 Exécution de code arbitraire à distance 13/05/2026 Exploitée https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089 Rappel des publications émises Dans la période du 01 juin 2026 au 07 juin 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0668 : Vulnérabilité dans Kaspersky Anti Targeted Attack Platform CERTFR-2026-AVI-0669 : Vulnérabilité dans Keycloak CERTFR-2026-AVI-0670 : Vulnérabilité dans Laravel CERTFR-2026-AVI-0671 : Multiples vulnérabilités dans les produits NetApp CERTFR-2026-AVI-0672 : Multiples vulnérabilités dans les produits Mitel CERTFR-2026-AVI-0673 : Vulnérabilité dans Microsoft Azure CERTFR-2026-AVI-0674 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0675 : Multiples vulnérabilités dans GLPI CERTFR-2026-AVI-0676 : Multiples vulnérabilités dans Mozilla Firefox CERTFR-2026-AVI-0677 : Vulnérabilité dans les produits Ivanti CERTFR-2026-AVI-0678 : Vulnérabilité dans Apache Kafka CERTFR-2026-AVI-0679 : Multiples vulnérabilités dans Google Android CERTFR-2026-AVI-0680 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0681 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0682 : Vulnérabilité dans les produits Laravel CERTFR-2026-AVI-0683 : Vulnérabilité dans HPE Aruba Networking AOS-CX CERTFR-2026-AVI-0684 : Multiples vulnérabilités dans Mozilla Firefox CERTFR-2026-AVI-0685 : Multiples vulnérabilités dans Microsoft Azure Linux CERTFR-2026-AVI-0686 : Multiples vulnérabilités dans les produits NetApp CERTFR-2026-AVI-0687 : Multiples vulnérabilités dans Synology Chat Server pour DSM CERTFR-2026-AVI-0688 : Multiples vulnérabilités dans FreeRadius CERTFR-2026-AVI-0689 : Vulnérabilité dans les produits Cisco CERTFR-2026-AVI-0690 : Multiples vulnérabilités dans Traefik CERTFR-2026-AVI-0691 : Multiples vulnérabilités dans CPython CERTFR-2026-AVI-0692 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0693 : Multiples vulnérabilités dans Microsoft Azure Linux CERTFR-2026-AVI-0694 : Multiples vulnérabilités dans le noyau Linux de Red Hat CERTFR-2026-AVI-0695 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu CERTFR-2026-AVI-0696 : Multiples vulnérabilités dans le noyau Linux de Debian LTS CERTFR-2026-AVI-0697 : Multiples vulnérabilités dans le noyau Linux de SUSE CERTFR-2026-AVI-0698 : Multiples vulnérabilités dans les produits IBM CERTFR-2026-AVI-0699 : Vulnérabilité dans Cisco Catalyst SD-WAN Dans la période du 01 juin 2026 au 07 juin 2026, le CERT-FR a mis à jour les publications suivantes : CERTFR-2026-AVI-0515 : Multiples vulnérabilités dans MISP Gestion détaillée du document le 08 juin 2026 Version initiale
← Retour