Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 7
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Microsoft | Windows 10 1809, Windows 10 21H2, Windows Server 2022, Windows 11 23H2, Windows 10 1607, Windows 10 22H2, Windows 11 25H2, Windows Server 2025, Windows Server 2019, Windows 11 24H2, Windows Server 2022 23H2, Windows Server 2016, Windows Server 2012 | CVE-2026-21510 | 8.8 (NVD) | Contournement de la politique de sécurité | 10/02/2026 | Exploitée | CERTFR-2026-AVI-0150 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21510 |
| Microsoft | Windows 10 1809, Windows 10 21H2, Windows 11 23H2, Windows 10 1607, Windows 10 22H2, Windows 11 25H2, Windows Server 2016, Windows Server 2022 23H2, Windows 11 24H2, Windows Server 2022, Windows Server 2025, Windows Server 2012, Windows Server 2019 | CVE-2026-21513 | 8.8 (NVD) | Contournement de la politique de sécurité | 10/02/2026 | Exploitée | CERTFR-2026-AVI-0150 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21513 |
| Apple | visionOS, watchOS, tvOS, iOS, iPadOS, macOS | CVE-2026-20700 | 7.8 (NVD) | Exécution de code arbitraire | 11/02/2026 | Exploitée | CERTFR-2026-AVI-0158 | https://support.apple.com/en-us/126346 https://support.apple.com/en-us/126348 https://support.apple.com/en-us/126351 https://support.apple.com/en-us/126352 https://support.apple.com/en-us/126353 |
| Microsoft | Office Long Term Servicing Channel, 365 Apps | CVE-2026-21514 | 7.8 (NVD) | Contournement de la politique de sécurité | 10/02/2026 | Exploitée | CERTFR-2026-AVI-0149 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21514 |
| Microsoft | Windows 10 1809, Windows 10 21H2, Windows Server 2022, Windows 11 23H2, Windows 10 1607, Windows 10 22H2, Windows 11 25H2, Windows Server 2025, Windows Server 2019, Windows 11 24H2, Windows Server 2022 23H2, Windows Server 2016 | CVE-2026-21519 | 7.8 (NVD) | Contournement de la politique de sécurité | 10/02/2026 | Exploitée | CERTFR-2026-AVI-0150 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21519 |
| Microsoft | Windows 10 21H2, Windows Server 2022, Windows 11 23H2, Windows 10 1607, Windows 10 22H2, Windows 11 25H2, Windows 10 1809, Windows Server 2025, Windows Server 2019, Windows 11 24H2, Windows Server 2022 23H2, Windows Server 2016, Windows Server 2012 | CVE-2026-21533 | 7.8 (NVD) | Contournement de la politique de sécurité | 10/02/2026 | Exploitée | CERTFR-2026-AVI-0150 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21533 |
| Microsoft | Windows 10 1809, Windows 10 21H2, Windows Server 2022, Windows 11 23H2, Windows 10 1607, Windows 10 22H2, Windows 11 25H2, Windows Server 2025, Windows Server 2019, Windows 11 24H2, Windows Server 2022 23H2, Windows Server 2016, Windows Server 2012 | CVE-2026-21525 | 6.2 (NVD) | Déni de service | 10/02/2026 | Exploitée | CERTFR-2026-AVI-0150 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21525 |
| Keycloak | Keycloak | CVE-2026-1529 | 8.1 (NVD) | Contournement de la politique de sécurité | 10/02/2026 | Code d'exploitation public | CERTFR-2026-AVI-0159 | https://www.keycloak.org/2026/02/keycloak-2653-released |
| Microsoft | Windows | CVE-2026-20841 | 7.8 (NVD) | Exécution de code arbitraire à distance | 10/02/2026 | Code d'exploitation public | CERTFR-2026-AVI-0150 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841 |
| Traefik | Traefik | CVE-2026-25949 | 7.5 (NVD) | Déni de service à distance | 12/02/2026 | Code d'exploitation public | CERTFR-2026-AVI-0154 | https://github.com/traefik/traefik/security/advisories/GHSA-89p3-4642-cr2w |
| Fortinet | FortiOS | CVE-2025-68686 | 5.9 (NVD) | Atteinte à la confidentialité des données, Contournement de la politique de sécurité | 10/02/2026 | Code d'exploitation public | CERTFR-2026-AVI-0147 | https://www.fortiguard.com/psirt/FG-IR-25-934 |
| SAP | S/4HANA, CRM | CVE-2026-0488 | 9.9 (NVD) | Atteinte à la confidentialité des données | 10/02/2026 | Pas d'information | CERTFR-2026-AVI-0141 | https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2026.html |
| Microsoft | Azure | CVE-2026-21531 | 9.8 (NVD) | Exécution de code arbitraire à distance | 10/02/2026 | Pas d'information | CERTFR-2026-AVI-0152 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21531 |
| Fortinet | FortiClientEMS | CVE-2026-21643 | 9.8 (NVD) | Injection SQL (SQLi) | 06/02/2026 | Pas d'information | CERTFR-2026-AVI-0136 | https://www.fortiguard.com/psirt/FG-IR-25-1142 |
| SAP | NetWeaver Application Server ABAP et ABAP Platform | CVE-2026-0509 | 9.6 (NVD) | Atteinte à la confidentialité des données, Atteinte à l'intégrité des données | 10/02/2026 | Pas d'information | CERTFR-2026-AVI-0141 | https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2026.html |
| Apple | Visionos, Ipados, Macos, Iphone Os | CVE-2026-20677 | 9 (NVD) | Contournement de la politique de sécurité | 11/02/2026 | Pas d'information | CERTFR-2026-AVI-0158 | https://support.apple.com/en-us/126346 https://support.apple.com/en-us/126347 https://support.apple.com/en-us/126348 https://support.apple.com/en-us/126350 https://support.apple.com/en-us/126353 |
CVE-2026-20841 : Vulnérabilité dans Windows Notepad
Le 9 février 2026, à l'occasion de sa mise a jour mensuelle, Microsoft a publié un correctif pour la vulnérabilité CVE-2026-20841 qui affecte Notepad. Celle-ci permet à un attaquant d'injecter des commandes dans un fichier au format Markdown.
La technique d'exploitation pour la vulnérabilité CVE-2026-20841 est triviale, mais nécessite plusieurs actions de la part de l'utilisateur.
Le CERT-FR recommande donc l'application du correctif et rappelle quelques règles élémentaires de sécurité :
- toujours évaluer la provenance d'un document ;
- ne pas cliquer sur des liens de manière indiscriminée ;
- ne pas ignorer les avertissements de sécurité du système d'exploitation.
Liens :
- https://arpa-02.cossi.internet/avis/CERTFR-2026-AVI-0150/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841
CVE-2025-68686 : Vulnérabilité dans Fortinet FortiOS
Le 10 février 2026, Fortinet a publié un bulletin de sécurité concernant la vulnérabilité CVE-2025-68686 affectant les VPN SSL dans FortiOS. Elle permet une atteinte à la confidentialité des données.
Cette vulnérabilité est également un contournement d'un correctif développé pour contrer un mécanisme de persistance observé au cours de nombreuses exploitations (cf. CERTFR-2025-ALE-004). Elle est triviale à exploiter et une preuve de concept est publiquement disponible.
Liens :
- https://arpa-02.cossi.internet/avis/CERTFR-2026-AVI-0147/
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-004/
- https://www.fortiguard.com/psirt/FG-IR-25-934
- https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
Rappel des alertes CERT-FR
[MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile
Le 6 février 2026, Ivanti a mis à disposition des scripts RPM de détection d'indicateurs de compromission, à utiliser en fonction de la version d'EPMM installée.L'éditeur a également mis son guide d'analyse à jour.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-001/
- https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Ivanti | Endpoint Manager | CVE-2026-1603 | 8.6 | Atteinte à la confidentialité des données, Contournement de la politique de sécurité | 09/02/2026 | Code d'exploitation public | https://hub.ivanti.com/s/article/Security-Advisory-EPM-February-2026-for-EPM-2024?language=en_US |
| Notepad++ | Notepad++ | CVE-2025-15556 | 7.7 | Exécution de code arbitraire à distance, Atteinte à l'intégrité des données | 09/12/2025 | Exploitée | https://notepad-plus-plus.org/news/v889-released/ https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-15556 |
| Microsoft | Configuration Manager 2403, Configuration Manager 2409, Configuration Manager 2503 | CVE-2024-43468 | 9.8 | Exécution de code arbitraire à distance | 08/10/2024 | Exploitée | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-43468 |
| SolarWinds | Web Help Desk | CVE-2025-40536 | 9.8 | Contournement de la politique de sécurité | 28/01/2026 | Exploitée | https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-40536 |
CVE-2026-1731 : Vulnérabilité dans BeyondTrust Remote Support et Privileged Remote Access
La vulnérabilité CVE-2026-1731 permet à un attaquant non authentifié d'exécuter du code arbitraire à distance dans BeyondTrust Remote Support et Privileged Remote Access.
Cette vulnérabilité est activement exploitée et un code d'attaque est publiquement disponible.
