Bulletin d'actualité CERTFR-2026-ACT-004

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 4

Tableau récapitulatif :

Vulnérabilités critiques du 19/01/26 au 25/01/26

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Cisco	Unified Communications Manager Session Management Edition, Unified Communications Manager IM & Presence Service, Webex Calling Dedicated Instance, Unity Connection	CVE-2026-20045	9.8 (NVD)	Exécution de code arbitraire à distance	21/01/2026	Exploitée	CERTFR-2026-AVI-0076	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b
Oracle	Database Server, Weblogic	CVE-2025-12383	9.4 (NVD)	Contournement de la politique de sécurité	20/01/2026	Code d'exploitation public	CERTFR-2026-AVI-0068	https://www.oracle.com/security-alerts/cpujan2026.html
Atlassian	Jira	CVE-2025-9287	9.1 (NVD)	Contournement de la politique de sécurité	20/01/2026	Code d'exploitation public	CERTFR-2026-AVI-0065	https://jira.atlassian.com/browse/JSWSERVER-26661 https://jira.atlassian.com/browse/JSDSERVER-16503
Atlassian	Jira	CVE-2025-9288	9.1 (NVD)	Contournement de la politique de sécurité	20/01/2026	Code d'exploitation public	CERTFR-2026-AVI-0065	https://jira.atlassian.com/browse/JSWSERVER-26662 https://jira.atlassian.com/browse/JSDSERVER-16502
IBM	Db2, Db2 Warehouse	CVE-2025-30065	10 (NVD)	Exécution de code arbitraire à distance	23/01/2026	Pas d'information	CERTFR-2026-AVI-0083	https://www.ibm.com/support/pages/node/7257888
Oracle	Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in	CVE-2026-21962	10 (Oracle)	Atteinte à l'intégrité des données, Atteinte à la confidentialité des données	21/01/2026	Pas d'information	CERTFR-2026-AVI-0074	https://www.oracle.com/security-alerts/cpujan2026verbose.html#FMW
IBM	Db2	CVE-2025-30472	9.8 (NVD)	Non spécifié par l'éditeur	23/01/2026	Pas d'information	CERTFR-2026-AVI-0083	https://www.ibm.com/support/pages/node/7257891
Atlassian	Confluence	CVE-2025-66516	9.8 (NVD)	Exécution de code arbitraire à distance	20/01/2026	Pas d'information	CERTFR-2026-AVI-0065	https://jira.atlassian.com/browse/CONFSERVER-101872
Microsoft	Edge	CVE-2026-0906	9.8 (NVD)	Contournement de la politique de sécurité	16/01/2026	Pas d'information	CERTFR-2026-AVI-0063	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0906
Microsoft	Edge	CVE-2026-0905	9.8 (NVD)	Atteinte à la confidentialité des données, Contournement de la politique de sécurité	16/01/2026	Pas d'information	CERTFR-2026-AVI-0063	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0905
Microsoft	Edge	CVE-2026-0907	9.8 (NVD)	Contournement de la politique de sécurité	16/01/2026	Pas d'information	CERTFR-2026-AVI-0063	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0907
IBM	Db2	CVE-2025-7783	9.4 (NVD)	Contournement de la politique de sécurité	23/01/2026	Pas d'information	CERTFR-2026-AVI-0083	https://www.ibm.com/support/pages/node/7257889

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Modular DS	Greffon Connector	CVE-2026-23550	10	Contournement de la politique de sécurité	14/01/2026	Exploitée	https://help.modulards.com/en/article/modular-ds-security-releases-modular-connector-260-and-252-dm3mv0/
Vitejs	Vite	CVE-2025-31125	7.5	Non spécifié par l'éditeur	31/03/2025	Exploitée	https://github.com/vitejs/vite/security/advisories/GHSA-4r4m-qw57-chr8
Zimbra	Collaboration	CVE-2025-68645	8.8	Contournement de la politique de sécurité	22/12/2025	Exploitée	https://wiki.zimbra.com/wiki/Security_Center
Openeclass	Openeclass	CVE-2026-22241	7.3	Exécution de code arbitraire à distance	08/01/2026	Code d'exploitation public	https://github.com/gunet/openeclass/security/advisories/GHSA-gq72-7mwg-424r
Microsoft	Windows	CVE-2026-20931	8	Élévation de privilèges	14/01/2026	Code d'exploitation public	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20931
Mozilla	Firefox ESR, Firefox, Thunderbird	CVE-2025-14321	9.8	Non spécifié par l'éditeur	09/12/2025	Code d'exploitation public	https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
GLPI	GLPI	CVE-2025-66417	9.8	Injection SQL (SQLi)	16/01/2026	Code d'exploitation public	https://github.com/glpi-project/glpi/security/advisories/GHSA-p467-682w-9cc9

Vulnérabilités dans Fortinet FortiCloud Single Sign-On

Le 23 janvier 2026, Fortinet a publié un billet de blogue indiquant avoir connaissance d'une vulnérabilité dans FortiCloud Single Sign-On. Cette vulnérabilité permet de contourner le mécanisme d'authentification. L'éditeur a connaissance d'exploitations et fournit des indicateurs de compromission ainsi que des mesures de contournement.

Lien :

https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios

Rappel des publications émises

Dans la période du 19 janvier 2026 au 25 janvier 2026, le CERT-FR a émis les publications suivantes :

CERTFR-2026-AVI-0062 : Vulnérabilité dans Mattermost Desktop App
CERTFR-2026-AVI-0063 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2026-AVI-0064 : Vulnérabilité Microsoft Power Apps
CERTFR-2026-AVI-0065 : Multiples vulnérabilités dans les produits Atlassian
CERTFR-2026-AVI-0066 : Vulnérabilité dans Google Chrome
CERTFR-2026-AVI-0067 : Multiples vulnérabilités dans Python
CERTFR-2026-AVI-0068 : Multiples vulnérabilités dans Oracle Database Server
CERTFR-2026-AVI-0069 : Multiples vulnérabilités dans Oracle Java SE
CERTFR-2026-AVI-0070 : Multiples vulnérabilités dans Oracle MySQL
CERTFR-2026-AVI-0071 : Multiples vulnérabilités dans Oracle PeopleSoft
CERTFR-2026-AVI-0072 : Multiples vulnérabilités dans Oracle Systems
CERTFR-2026-AVI-0073 : Multiples vulnérabilités dans Oracle Virtualization
CERTFR-2026-AVI-0074 : Multiples vulnérabilités dans Oracle Weblogic
CERTFR-2026-AVI-0075 : Multiples vulnérabilités dans GitLab
CERTFR-2026-AVI-0076 : Vulnérabilité dans les produits Cisco
CERTFR-2026-AVI-0077 : Multiples vulnérabilités dans les produits Symantec
CERTFR-2026-AVI-0078 : Vulnérabilité dans Ceph
CERTFR-2026-AVI-0079 : Vulnérabilité dans Python
CERTFR-2026-AVI-0080 : Vulnérabilité dans Broadcom Web Security Services Agent
CERTFR-2026-AVI-0081 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2026-AVI-0082 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2026-AVI-0083 : Multiples vulnérabilités dans les produits IBM

Dans la période du 19 janvier 2026 au 25 janvier 2026, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2025-AVI-0970 : Multiples vulnérabilités dans Synacor Zimbra Collaboration

Référence	CERTFR-2026-ACT-004
Titre	Bulletin d'actualité CERTFR-2026-ACT-004
Date de la première version	26 janvier 2026
Date de la dernière version	26 janvier 2026
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-004

Gestion du document

Vulnérabilités significatives de la semaine 4

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

Vulnérabilités dans Fortinet FortiCloud Single Sign-On

Lien :

Rappel des publications émises

Gestion détaillée du document