Objet: Bulletin d'actualité CERTFR-2026-ACT-027

Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 22 juin 2026 N° CERTFR-2026-ACT-027 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-027 Gestion du document Référence CERTFR-2026-ACT-027 Titre Bulletin d'actualité CERTFR-2026-ACT-027 Date de la première version22 juin 2026 Date de la dernière version22 juin 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 25 Tableau récapitulatif : Vulnérabilités critiques du 15/06/26 au 21/06/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Cisco Catalyst SD-WAN CVE-2026-20262 6.5 (NVD) Atteinte à l'intégrité des données 15/06/2026 Exploitée CERTFR-2026-AVI-0756 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-arbfw-c2rZvQ Traefik Traefik CVE-2026-54762 5.9(Editeur) Contournement de la politique de sécurité 19/06/2026Code d'exploitation publicCERTFR-2026-AVI-0785 https://github.com/traefik/traefik/security/advisories/GHSA-4mr2-fg2p-w63c Atlassian Jira CVE-2026-42043 10 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0773 https://jira.atlassian.com/browse/JSWSERVER-26815https://jira.atlassian.com/browse/JSDSERVER-16616 Oracle Weblogic Server CVE-2026-35292 10 (NVD) Atteinte à la confidentialité des données, Atteinte à l'intégrité des données 16/06/2026 Pas d'information CERTFR-2026-AVI-0769 https://www.oracle.com/security-alerts/cspujun2026.html Oracle Weblogic Server CVE-2026-35301 10 (NVD) Atteinte à la confidentialité des données, Atteinte à l'intégrité des données 16/06/2026 Pas d'information CERTFR-2026-AVI-0769 https://www.oracle.com/security-alerts/cspujun2026.html Oracle Systems CVE-2026-46978 10 (NVD) Atteinte à la confidentialité des données, Atteinte à l'intégrité des données 16/06/2026 Pas d'information CERTFR-2026-AVI-0767 https://www.oracle.com/security-alerts/cspujun2026.html Google Android CVE-2026-0063 10 (NVD) Élévation de privilèges 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-0064 10 (NVD) Déni de service à distance 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-0068 10 (NVD) Élévation de privilèges 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-0071 10 (NVD) Élévation de privilèges 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-0081 10 (NVD) Élévation de privilèges, Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-0082 10 (NVD) Élévation de privilèges 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-0083 10 (NVD) Élévation de privilèges, Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-0092 10 (NVD) Élévation de privilèges, Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-28575 10 (NVD) Déni de service à distance 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-28576 10 (NVD) Exécution de code arbitraire à distance, Atteinte à la confidentialité des données, Injection SQL (SQLi) 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-28587 10 (NVD) Atteinte à la confidentialité des données 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Google Android CVE-2026-28615 10 (NVD) Élévation de privilèges, Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0778 https://source.android.com/docs/security/bulletin/android-17 Oracle MySQL CVE-2026-46850 9.9 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0765 https://www.oracle.com/security-alerts/cspujun2026.html Oracle MySQL CVE-2026-35263 9.9 (NVD) Atteinte à la confidentialité des données, Atteinte à l'intégrité des données 16/06/2026 Pas d'information CERTFR-2026-AVI-0765 https://www.oracle.com/security-alerts/cspujun2026.html Mozilla Thunderbird, Firefox CVE-2026-12293 9.8 (NVD) Non spécifié par l'éditeur 16/06/2026 Pas d'information CERTFR-2026-AVI-0764 https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/ Oracle PeopleSoft CVE-2026-35278 9.8 (NVD) Atteinte à la confidentialité des données, Atteinte à l'intégrité des données 16/06/2026 Pas d'information CERTFR-2026-AVI-0766 https://www.oracle.com/security-alerts/cspujun2026.html Oracle MySQL CVE-2026-46860 9.8 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0765 https://www.oracle.com/security-alerts/cspujun2026.html Oracle Weblogic Server CVE-2026-35300 9.8 (NVD) Atteinte à la confidentialité des données, Atteinte à l'intégrité des données 16/06/2026 Pas d'information CERTFR-2026-AVI-0769 https://www.oracle.com/security-alerts/cspujun2026.html Spring Spring pour GraphQL CVE-2026-41699 9.8 (NVD) Exécution de code arbitraire à distance 10/06/2026 Pas d'information CERTFR-2026-AVI-0759 https://spring.io/security/cve-2026-41699 Mozilla Firefox, Thunderbird CVE-2026-12294 9.6 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0764 https://www.mozilla.org/en-US/security/advisories/mfsa2026-59/https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/ Mozilla Thunderbird, Firefox CVE-2026-12295 9.6 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0764 https://www.mozilla.org/en-US/security/advisories/mfsa2026-59/https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/ Mozilla Thunderbird, Firefox CVE-2026-12296 9.6 (NVD) Non spécifié par l'éditeur 16/06/2026 Pas d'information CERTFR-2026-AVI-0764 https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/ Mozilla Thunderbird, Firefox CVE-2026-12297 9.6 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0764 https://www.mozilla.org/en-US/security/advisories/mfsa2026-59/https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/ Google Chrome CVE-2026-12440 9.6 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0761 https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_01750511403.html Oracle MySQL CVE-2026-46861 9.6 (NVD) Atteinte à l'intégrité des données 16/06/2026 Pas d'information CERTFR-2026-AVI-0765 https://www.oracle.com/security-alerts/cspujun2026.html Cisco Identity Services Engine CVE-2026-20181 9.1 (NVD) Exécution de code arbitraire à distance, Déni de service à distance, Contournement de la politique de sécurité 17/06/2026 Pas d'information CERTFR-2026-AVI-0772 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multi-G5WP8vv Splunk Splunk AI Toolkit CVE-2026-20266 9.1 (NVD) Exécution de code arbitraire à distance 17/06/2026 Pas d'information CERTFR-2026-AVI-0774 https://advisory.splunk.com/advisories/SVD-2026-0614 Atlassian Confluence CVE-2026-42579 9.1 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0773 https://jira.atlassian.com/browse/CONFSERVER-104139 Atlassian Confluence, Jira CVE-2026-42584 9.1 (NVD) Non spécifié par l'éditeur 16/06/2026 Pas d'information CERTFR-2026-AVI-0773 https://jira.atlassian.com/browse/JSWSERVER-26811https://jira.atlassian.com/browse/JSDSERVER-16611https://jira.atlassian.com/browse/CONFSERVER-104135 Mozilla Thunderbird, Firefox CVE-2026-12304 9.1 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0764 https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/ Mozilla Thunderbird, Firefox CVE-2026-12315 9.1 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0764 https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/ Mozilla Thunderbird, Firefox CVE-2026-12316 9.1 (NVD) Contournement de la politique de sécurité 16/06/2026 Pas d'information CERTFR-2026-AVI-0764 https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/ Oracle Weblogic Server CVE-2026-35298 9.1 (NVD) Atteinte à la confidentialité des données, Atteinte à l'intégrité des données 16/06/2026 Pas d'information CERTFR-2026-AVI-0769 https://www.oracle.com/security-alerts/cspujun2026.html Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Widgetfactorylimited Jce CVE-2026-48907 10 Non spécifié par l'éditeur 12/06/2026 Exploitée https://www.joomlacontenteditor.net/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-48907https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites Splunk Splunk Enterprise, Splunk Cloud Platform CVE-2026-20253 9.8 Atteinte à l'intégrité des données, Contournement de la politique de sécurité 11/06/2026 Exploitée https://advisory.splunk.com/advisories/SVD-2026-0603 Litespeedtech Litespeed Cpanel Plugin, Litespeed Whm Plugin CVE-2026-54420 8.5 Non spécifié par l'éditeur 01/06/2026 Exploitée https://blog.litespeedtech.com/2026/06/01/security-update-for-litespeed-cpanel-plugin-2/https://www.litespeedtech.com/products/litespeed-web-server/control-panel-support/cpanelhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-54420 Microsoft Microsoft Defender CVE-2026-50656 7.8 Élévation de privilèges 16/06/2026Code d'exploitation publichttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656 Incidents Fuite massive d'identifiants d'accès aux pare-feu et passerelles VPN Fortinet En juin 2026, des chercheurs ont révélé une fuite massive de données critiques, dénommée FortiBleed, ciblant les équipements Fortinet à l'échelle mondiale.

Une base de données contenant les identifiants d'accès de plus de 75000 pare-feu et passerelles VPN Fortinet est disponible en libre accès sur Internet. Tous les appareils Fortinet dont l'interface d'administration ou les accès VPN sont exposés sur Internet sont à risque. Liens https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure https://www.ncsc.gov.uk/news/advice-following-global-targeting-of-fortinet-firewalls-and-vpn-gateways https://www.sophos.com/en-us/security-advisories/fortinet-fortibleed-credential-exposure-and-sophos-vpn-bruteforcing-campaign https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/ Compromission d'un équipement de bordure réseau - Endiguement Compromission d'un équipement de bordure réseau - Qualification Rappel des publications émises Dans la période du 15 juin 2026 au 21 juin 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0750 : Vulnérabilité dans les produits HPE Aruba Networking CERTFR-2026-AVI-0751 : Vulnérabilité dans Spring AI CERTFR-2026-AVI-0752 : Multiples vulnérabilités dans les produits Mattermost CERTFR-2026-AVI-0753 : Multiples vulnérabilités dans Microsoft Azure CERTFR-2026-AVI-0754 : Multiples vulnérabilités dans Redmine CERTFR-2026-AVI-0755 : Vulnérabilité dans LibreNMS CERTFR-2026-AVI-0756 : Vulnérabilité dans Cisco Catalyst CERTFR-2026-AVI-0757 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0758 : Vulnérabilité dans Microsoft Azure CERTFR-2026-AVI-0759 : Multiples vulnérabilités dans les produits Spring CERTFR-2026-AVI-0760 : Multiples vulnérabilités dans les produits Moxa CERTFR-2026-AVI-0761 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0762 : Multiples vulnérabilités dans les produits Qnap CERTFR-2026-AVI-0763 : Vulnérabilité dans les produits Moxa CERTFR-2026-AVI-0764 : Multiples vulnérabilités dans les produits Mozilla CERTFR-2026-AVI-0765 : Multiples vulnérabilités dans Oracle MySQL CERTFR-2026-AVI-0766 : Multiples vulnérabilités dans Oracle PeopleSoft CERTFR-2026-AVI-0767 : Multiples vulnérabilités dans Oracle Systems CERTFR-2026-AVI-0768 : Multiples vulnérabilités dans Oracle Virtualization CERTFR-2026-AVI-0769 : Multiples vulnérabilités dans Oracle Weblogic CERTFR-2026-AVI-0770 : Multiples vulnérabilités dans les produits Mitel CERTFR-2026-AVI-0771 : Multiples vulnérabilités dans Drupal CERTFR-2026-AVI-0772 : Multiples vulnérabilités dans les produits Cisco CERTFR-2026-AVI-0773 : Multiples vulnérabilités dans les produits Atlassian CERTFR-2026-AVI-0774 : Multiples vulnérabilités dans Splunk AI Toolkit CERTFR-2026-AVI-0775 : Multiples vulnérabilités dans Nginx CERTFR-2026-AVI-0776 : Vulnérabilité dans Synacor Zimbra Collaboration CERTFR-2026-AVI-0777 : Multiples vulnérabilités dans Mattermost Desktop App CERTFR-2026-AVI-0778 : Multiples vulnérabilités dans Google Android 17 CERTFR-2026-AVI-0779 : Multiples vulnérabilités dans Google Pixel CERTFR-2026-AVI-0780 : Vulnérabilité dans Apereo CAS CERTFR-2026-AVI-0781 : Multiples vulnérabilités dans le noyau Linux de Red Hat CERTFR-2026-AVI-0782 : Multiples vulnérabilités dans le noyau Linux de SUSE CERTFR-2026-AVI-0783 : Multiples vulnérabilités dans Microsoft Azure CERTFR-2026-AVI-0784 : Multiples vulnérabilités dans le noyau Linux de Debian LTS CERTFR-2026-AVI-0785 : Vulnérabilité dans Traefik CERTFR-2026-AVI-0786 : Multiples vulnérabilités dans Node.js CERTFR-2026-AVI-0787 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu CERTFR-2026-AVI-0788 : Multiples vulnérabilités dans les produits IBM Dans la période du 15 juin 2026 au 21 juin 2026, le CERT-FR a mis à jour les publications suivantes : CERTFR-2026-AVI-0632 : Multiples vulnérabilités dans les produits Mattermost CERTFR-2026-ALE-003 : Note d’alerte – Ciblage des messageries instantanées Gestion détaillée du document le 22 juin 2026 Version initiale