Bulletin d'actualité CERTFR-2026-ACT-008

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 8

Tableau récapitulatif :

Vulnérabilités critiques du 16/02/26 au 22/02/26

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Microsoft	Edge	CVE-2026-2441	8.8 (NVD)	Exécution de code arbitraire	17/02/2026	Exploitée	CERTFR-2026-AVI-0172	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-2441
Google	Chrome	CVE-2026-2441	8.8 (NVD)	Exécution de code arbitraire	17/02/2026	Exploitée	CERTFR-2026-AVI-0172	https://chromereleases.googleblog.com/2026/02/extended-stable-updates-for-desktop_13.html https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_13.html
LibreNMS	LibreNMS	CVE-2026-26988	9.3 (NVD)	Injection SQL (SQLi)	17/02/2026	Code d'exploitation public	CERTFR-2026-AVI-0174	https://github.com/librenms/librenms/security/advisories/GHSA-h3rv-q4rq-pqcv
LibreNMS	LibreNMS	CVE-2026-26990	8.8 (NVD)	Injection SQL (SQLi)	17/02/2026	Code d'exploitation public	CERTFR-2026-AVI-0174	https://github.com/librenms/librenms/security/advisories/GHSA-79q9-wc6p-cf92
LibreNMS	LibreNMS	CVE-2026-26987	5.3 (NVD)	Injection de code indirecte à distance (XSS)	17/02/2026	Code d'exploitation public	CERTFR-2026-AVI-0174	https://github.com/librenms/librenms/security/advisories/GHSA-gqx7-99jw-6fpr
LibreNMS	LibreNMS	CVE-2026-26989	4.8 (NVD)	Injection de code indirecte à distance (XSS)	17/02/2026	Code d'exploitation public	CERTFR-2026-AVI-0174	https://github.com/librenms/librenms/security/advisories/GHSA-6xmx-xr9p-58p7
Traefik	Traefik	CVE-2025-68121	10 (NVD)	Contournement de la politique de sécurité	20/02/2026	Pas d'information	CERTFR-2026-AVI-0191	https://github.com/traefik/traefik/security/advisories/GHSA-gv8r-9rw9-9697
Tenable	Security Center	CVE-2021-46743	9.1 (NVD)	Contournement de la politique de sécurité	18/02/2026	Pas d'information	CERTFR-2026-AVI-0187	https://www.tenable.com/security/tns-2026-07
Splunk	Splunk AppDynamics Smart Agent	CVE-2025-22871	9.1 (NVD)	Contournement de la politique de sécurité	18/02/2026	Pas d'information	CERTFR-2026-AVI-0188	https://advisory.splunk.com/advisories/SVD-2026-0211

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Teamt5	Threatsonar Anti-Ransomware	CVE-2024-7694	7.2	Non spécifié par l'éditeur	12/08/2024	Exploitée	https://www.twcert.org.tw/en/cp-139-8000-e5a5c-2.html https://www.twcert.org.tw/tw/cp-132-7998-d76dd-1.html
Roundcube	Webmail	CVE-2025-68461	7.2	Injection de code indirecte à distance (XSS)	13/12/2025	Exploitée	https://roundcube.net/news/2025/12/13/security-updates-1.6.12-and-1.5.12
Microsoft	Windows 2003 Server, Windows Xp	CVE-2008-0015	8.8	Exécution de code arbitraire à distance	14/07/2009	Exploitée	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-032 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-037
Synacor	Zimbra Collaboration Suite	CVE-2020-7796	9.8	Falsification de requêtes côté serveur (SSRF)	07/22/2019	Exploitée	https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P7
Gitlab	Gitlab	CVE-2021-22175	9.8	Falsification de requêtes côté serveur (SSRF)	16/12/2020	Exploitée	https://gitlab.com/gitlab-org/gitlab/-/issues/294178
Dell	Recoverpoint For Virtual Machines	CVE-2026-22769	10	Non spécifié par l'éditeur	17/02/2026	Exploitée	https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079
Roundcube	Webmail	CVE-2025-49113	9.9	Exécution de code arbitraire à distance	01/06/2026	Exploitée	https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10

Vulnérabilité dans IceWarp EPOS

Le 19 février 2026, L'éditeur IceWarp a publié un bulletin de sécurité concernant deux vulnérabilités affectant l'interface WebClient d'EPOS. La première vulnérabilité permet à un attaquant de provoquer une injection de code indirecte à distance (XSS). La seconde permet à un attaquant de provoquer une atteinte à confidentialité. Les systèmes affectés sont :

IceWarp Epos versions 14.2.x antérieures à 14.2.0.12
IceWarp Epos versions 14.1.x antérieures à 14.1.0.20

Liens :

https://support.icewarp.com/hc/en-us/articles/43185223566609-IceWarp-Security-Update-for-EPOS

Rappel des publications émises

Dans la période du 16 février 2026 au 22 février 2026, le CERT-FR a émis les publications suivantes :

CERTFR-2026-AVI-0172 : Vulnérabilité dans Google Chrome
CERTFR-2026-AVI-0173 : Multiples vulnérabilités dans les produits Mattermost
CERTFR-2026-AVI-0174 : Multiples vulnérabilités dans LibreNMS
CERTFR-2026-AVI-0175 : Multiples vulnérabilités dans les produits Mozilla
CERTFR-2026-AVI-0176 : Vulnérabilité dans Mattermost Server
CERTFR-2026-AVI-0177 : Multiples vulnérabilités dans Moodle
CERTFR-2026-AVI-0178 : Multiples vulnérabilités dans Tenable Security Center
CERTFR-2026-AVI-0179 : Multiples vulnérabilités dans SPIP
CERTFR-2026-AVI-0180 : Vulnérabilité dans NetApp StorageGRID
CERTFR-2026-AVI-0181 : Vulnérabilité dans Apache Tomcat
CERTFR-2026-AVI-0182 : Multiples vulnérabilités dans Atlassian Confluence
CERTFR-2026-AVI-0183 : Vulnérabilité dans HPE Aruba Networking ClearPass Policy Manager
CERTFR-2026-AVI-0184 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2026-AVI-0185 : Vulnérabilité dans Microsoft Windows
CERTFR-2026-AVI-0186 : Multiples vulnérabilités dans Google Chrome
CERTFR-2026-AVI-0187 : Multiples vulnérabilités dans Tenable Security Center
CERTFR-2026-AVI-0188 : Multiples vulnérabilités dans les produits Splunk
CERTFR-2026-AVI-0189 : Vulnérabilité dans F5 BIG-IP
CERTFR-2026-AVI-0190 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2026-AVI-0191 : Vulnérabilité dans Traefik
CERTFR-2026-AVI-0192 : Multiples vulnérabilités dans le noyau Linux de Debian
CERTFR-2026-AVI-0193 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2026-AVI-0194 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2026-AVI-0195 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2026-AVI-0196 : Multiples vulnérabilités dans les produits IBM

Dans la période du 16 février 2026 au 22 février 2026, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2024-AVI-0858 : Multiples vulnérabilités dans Mitel Micollab
CERTFR-2026-AVI-0052 : Multiples vulnérabilités dans Mattermost Server

Référence	CERTFR-2026-ACT-008
Titre	Bulletin d'actualité CERTFR-2026-ACT-008
Date de la première version	23 février 2026
Date de la dernière version	23 février 2026
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-008

Gestion du document

Vulnérabilités significatives de la semaine 8

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

Vulnérabilité dans IceWarp EPOS

Liens :

Rappel des publications émises

Gestion détaillée du document