S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 février 2026
N° CERTFR-2026-ACT-006
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-006

Gestion du document

Référence CERTFR-2026-ACT-006
Titre Bulletin d'actualité CERTFR-2026-ACT-006
Date de la première version09 février 2026
Date de la dernière version09 février 2026
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 6

Tableau récapitulatif :

Vulnérabilités critiques du 02/02/26 au 08/02/26
Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Google Pixel CVE-2026-0106 9.3 (NVD) Élévation de privilèges 02/02/2026 Pas d'information CERTFR-2026-AVI-0113
https://source.android.com/docs/security/bulletin/pixel/2026/2026-02-01?hl=fr
Moxa TN-4500A Series, TN-G4500 Series, TN-G6500 Series, TN-5500A Series CVE-2024-12297 9.2 (NVD) Contournement de la politique de sécurité 04/02/2026 Pas d'information CERTFR-2026-AVI-0116
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241409-cve-2024-12297-frontend-authorization-logic-disclosure-vulnerability-in-ethernet-switches
GLPI GLPI CVE-2026-22247 9.1 (NVD) Falsification de requêtes côté serveur (SSRF) 04/02/2026 Pas d'information CERTFR-2026-AVI-0117
https://github.com/glpi-project/glpi/security/advisories/GHSA-f6f6-v3qr-9p5x

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Gitlab Gitlab CVE-2021-39935 7.5 Falsification de requêtes côté serveur (SSRF) 20/11/2021 Exploitée https://gitlab.com/gitlab-org/gitlab/-/issues/346187
Sangoma Freepbx CVE-2025-64328 8.6 Exécution de code arbitraire à distance 05/11/2025 Exploitée https://github.com/FreePBX/security-reporting/security/advisories/GHSA-vm9p-46mv-5xvw
Sangoma Freepbx CVE-2019-19006 9.8 Contournement de la politique de sécurité 20/11/2019 Exploitée https://community.freepbx.org/t/freepbx-security-vulnerability-sec-2019-001/62772
SmarterTools SmarterMail CVE-2026-24423 9.3 Exécution de code arbitraire à distance 22/01/2026 Exploitée https://www.smartertools.com/smartermail/release-notes/current
React Native Community CLI CVE-2025-11953 9.8 Exécution de code arbitraire à distance 06/11/2025 Exploitée https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-11953
SolarWinds Web Help Desk CVE-2025-40551 9.8 Exécution de code arbitraire à distance 28/01/2026 Exploitée https://www.solarwinds.com/trust-center/security-advisories/cve-2025-40551
N8N N8N CVE-2026-25049 9.4 Non spécifié par l'éditeur 04/02/2026Code d'exploitation publichttps://github.com/n8n-io/n8n/security/advisories/GHSA-6cqr-8cfr-67f8

Notepad++: Compromission de la chaîne d'approvisionnement

Le 2 février 2026, les développeurs de Notepad++ ont publié un avis de sécurité annonçant une compromission de leur serveur de mises à jour hébergé chez un fournisseur d’hébergement tiers.

Une attaque ciblée a affecté cette infrastructure, entre juin et décembre 2025, permettant la distribution de binaires malveillants via le mécanisme de mises à jour automatiques.

Aucune compromission du code source officiel, du dépôt GitHub, ni des binaires publiés manuellement n’a été constatée.

Le CERT-FR recommande de :

  • Mettre à jour Notepad++ vers la version v8.9.1 ;
  • Analyser les postes concernés ;
  • Vérifier l'intégrité des fichiers installés ;
  • En cas de compromission ou de suspicion de compromission, signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRT métier.

Liens :

Indicateurs de Compromission

Ces indicateurs n'ont pas été qualifiés par le CERT-FR.

Rappel des publications émises

Dans la période du 02 février 2026 au 08 février 2026, le CERT-FR a émis les publications suivantes :


Dans la période du 02 février 2026 au 08 février 2026, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 09 février 2026
    Version initiale