Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 29 juin 2026 N° CERTFR-2026-ACT-028 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-028 Gestion du document Référence CERTFR-2026-ACT-028 Titre Bulletin d'actualité CERTFR-2026-ACT-028 Date de la première version29 juin 2026 Date de la dernière version29 juin 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 26 Tableau récapitulatif : Vulnérabilités critiques du 22/06/26 au 28/06/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Tenable Identity Exposure CVE-2025-55315 9.9 (NVD) Contournement de la politique de sécurité 23/06/2026 Pas d'information CERTFR-2026-AVI-0796 https://www.tenable.com/security/tns-2026-16 Tenable Identity Exposure CVE-2026-31789 9.8 (NVD) Exécution de code arbitraire, Déni de service 23/06/2026 Pas d'information CERTFR-2026-AVI-0796 https://www.tenable.com/security/tns-2026-16 Ubuntu Ubuntu CVE-2026-31533 9.8 (NVD) Non spécifié par l'éditeur 22/06/2026 Pas d'information CERTFR-2026-AVI-0806 https://ubuntu.com/security/notices/USN-8462-1 Microsoft Azure Linux CVE-2026-9698 9.8 (NVD) Non spécifié par l'éditeur 17/06/2026 Pas d'information CERTFR-2026-AVI-0792 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9698 Google Chrome CVE-2026-13028 9.6 (NVD) Contournement de la politique de sécurité 23/06/2026 Pas d'information CERTFR-2026-AVI-0801 https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_0482630350.html Google Chrome CVE-2026-13032 9.6 (NVD) Contournement de la politique de sécurité 23/06/2026 Pas d'information CERTFR-2026-AVI-0801 https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_0482630350.html Microsoft Edge CVE-2026-12440 9.6 (NVD) Contournement de la politique de sécurité 19/06/2026 Pas d'information CERTFR-2026-AVI-0791 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-12440 Tenable Identity Exposure CVE-2025-55130 9.1 (NVD) Atteinte à la confidentialité des données, Contournement de la politique de sécurité 23/06/2026 Pas d'information CERTFR-2026-AVI-0796 https://www.tenable.com/security/tns-2026-16 Tenable Identity Exposure CVE-2026-28386 9.1 (NVD) Atteinte à la confidentialité des données, Déni de service 23/06/2026 Pas d'information CERTFR-2026-AVI-0796 https://www.tenable.com/security/tns-2026-16 Tenable Identity Exposure CVE-2026-34182 9.1 (NVD) Atteinte à l'intégrité des données, Contournement de la politique de sécurité 23/06/2026 Pas d'information CERTFR-2026-AVI-0796 https://www.tenable.com/security/tns-2026-16 CVE-2026-47729 : Vulnérabilité dans Squid Le 23 juin 2026, l'éditeur diffusait la version 7.6 de Squid corrigeant une vulnérabilité qui permet à un attaquant de provoquer une atteinte à la confidentialité.
La vulnérabilité surnommée Squidbleed est présente dans la passerelle FTP. La vulnérabilité permet à un attaquant d'accéder en lecture à des transactions aléatoires sans rapport avec la requête initiale. Pour exploiter cette vulnérabilité, l'attaquant doit être un client de confiance.
L'éditeur fournit une liste de contrôle d'accès comme moyen de contournement. Des preuves de concept sont disponibles.Liens : https://github.com/squid-cache/squid/security/advisories/GHSA-8c37-pxjq-qwrg Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Ui Unas 4 Firmware, Unifi Express 7 Firmware, Unas Pro 4 Firmware, Unifi Network Video Recorder Pro Firmware, Unifi Os Server, Unifi Cloud Gateway Max Firmware, Unifi Dream Router Firmware, Unifi Network Video Recorder G2 Pro Firmware, Unifi Dream Machine Beast Firmware, Unifi Cloud Gateway Industrial Firmware, Unas 2 Firmware, Unifi Network Video Recorder Instant Firmware, Unifi Network Video Recorder G2 Firmware, Unifi Dream Wall Firmware, Unifi Dream Router 5G Max Firmware, Unifi Cloud Gateway Fiber Firmware, Unifi Cloudkey Enterprise Firmware, Enterprise Network Video Recorder Firmware, Unifi Dream Router 7 Firmware, Unifi Dream Machine Pro Max Firmware, Enterprise Network Video Recorder Core Firmware, Unifi Dream Machine Special Edition Firmware, Unifi Cloudkey Firmware, Unas Pro 8 Firmware, Enterprise Fortress Gateway Firmware, Unifi Dream Machine Pro Firmware, Unifi Network Video Recorder Firmware, Unifi Cloud Key Plus Firmware, Unifi Dream Machine Firmware, Unas Pro Firmware, Unifi Cloud Gateway Ultra Firmware CVE-2026-34908 10 Contournement de la politique de sécurité 22/05/2026 Exploitée https://community.ui.com/releases/Security-Advisory-Bulletin-064-064/84811c09-4cf4-42ab-bd61-cc994445963b Ui Unas 4 Firmware, Unifi Express 7 Firmware, Unas Pro 4 Firmware, Unifi Network Video Recorder Pro Firmware, Unifi Os Server, Unifi Express Firmware, Unifi Cloud Gateway Max Firmware, Unifi Dream Router Firmware, Unifi Network Video Recorder G2 Pro Firmware, Unifi Dream Machine Beast Firmware, Unifi Cloud Gateway Industrial Firmware, Unas 2 Firmware, Unifi Network Video Recorder Instant Firmware, Unifi Network Video Recorder G2 Firmware, Unifi Dream Wall Firmware, Unifi Dream Router 5G Max Firmware, Unifi Cloud Gateway Fiber Firmware, Unifi Cloudkey Enterprise Firmware, Enterprise Network Video Recorder Firmware, Unifi Dream Router 7 Firmware, Unifi Dream Machine Pro Max Firmware, Enterprise Network Video Recorder Core Firmware, Unifi Dream Machine Special Edition Firmware, Unifi Cloudkey Firmware, Unas Pro 8 Firmware, Enterprise Fortress Gateway Firmware, Unifi Dream Machine Pro Firmware, Unifi Network Video Recorder Firmware, Unifi Cloud Key Plus Firmware, Unifi Dream Machine Firmware, Unas Pro Firmware, Unifi Cloud Gateway Ultra Firmware CVE-2026-34909 10 Non spécifié par l'éditeur 22/05/2026 Exploitée https://community.ui.com/releases/Security-Advisory-Bulletin-064-064/84811c09-4cf4-42ab-bd61-cc994445963b Langflow Langflow CVE-2026-33017 9.3 Exécution de code arbitraire à distance 20/03/2026 Exploitée https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvx Ptc Flexplm, Windchill Pdmlink CVE-2026-12569 9.3 Exécution de code arbitraire à distance 18/06/2026 Exploitée https://www.ptc.com/en/support/article/CS473270 Cisco Unified Communications, Unified Communications Manager CVE-2026-20230 8.6 Falsification de requêtes côté serveur (SSRF) 03/06/2026 Exploitée https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW Rappel des publications émises Dans la période du 22 juin 2026 au 28 juin 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0789 : Vulnérabilité dans PaperCut Print Deploy Client CERTFR-2026-AVI-0790 : Vulnérabilité dans CPython pour Windows CERTFR-2026-AVI-0791 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0792 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0793 : Multiples vulnérabilités dans Postfix CERTFR-2026-AVI-0794 : Multiples vulnérabilités dans Moodle CERTFR-2026-AVI-0795 : Multiples vulnérabilités dans Squid CERTFR-2026-AVI-0796 : Multiples vulnérabilités dans Tenable Identity Exposure CERTFR-2026-AVI-0797 : Multiples vulnérabilités dans cURL et libcurl CERTFR-2026-AVI-0798 : Multiples vulnérabilités dans Microsoft Azure Linux CERTFR-2026-AVI-0799 : Multiples vulnérabilités dans GitLab CERTFR-2026-AVI-0800 : Multiples vulnérabilités dans CPython CERTFR-2026-AVI-0801 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0802 : Multiples vulnérabilités dans Microsoft Azure Linux CERTFR-2026-AVI-0803 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0804 : Multiples vulnérabilités dans Tenable Nessus CERTFR-2026-AVI-0805 : Multiples vulnérabilités dans Asterisk CERTFR-2026-AVI-0806 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu CERTFR-2026-AVI-0807 : Multiples vulnérabilités dans le noyau Linux de SUSE CERTFR-2026-AVI-0808 : Multiples vulnérabilités dans le noyau Linux de Red Hat CERTFR-2026-AVI-0809 : Multiples vulnérabilités dans le noyau Linux de Debian CERTFR-2026-AVI-0810 : Multiples vulnérabilités dans les produits IBM Gestion détaillée du document le 29 juin 2026 Version initiale