S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 avril 2026
N° CERTFR-2026-ACT-017
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-017

Gestion du document

Référence CERTFR-2026-ACT-017
Titre Bulletin d'actualité CERTFR-2026-ACT-017
Date de la première version13 avril 2026
Date de la dernière version13 avril 2026
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 15

Tableau récapitulatif :

Vulnérabilités critiques du 06/04/26 au 12/04/26
Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Fortinet FortiClientEMS CVE-2026-35616 9.8 (NVD) Contournement de la politique de sécurité, Exécution de code arbitraire à distance 04/04/2026 Exploitée CERTFR-2026-AVI-0400
https://www.fortiguard.com/psirt/FG-IR-26-099
Adobe Acrobat Reader CVE-2026-34621 8.6 (NVD) Exécution de code arbitraire 11/04/2026 Exploitée CERTFR-2026-AVI-0429
https://helpx.adobe.com/security/products/acrobat/apsb26-43.html
GLPI GLPI CVE-2026-26026 9.1 (NVD) Exécution de code arbitraire à distance 03/04/2026Code d'exploitation publicCERTFR-2026-AVI-0401
https://github.com/glpi-project/glpi/security/advisories/GHSA-2c98-648q-h27h
GLPI GLPI CVE-2026-26027 7.5 (NVD) Injection de code indirecte à distance (XSS) 03/04/2026Code d'exploitation publicCERTFR-2026-AVI-0401
https://github.com/glpi-project/glpi/security/advisories/GHSA-chch-wcm9-f9cp
Mozilla Firefox, Thunderbird ESR, Thunderbird, Firefox ESR CVE-2026-5731 9.8 (NVD) Exécution de code arbitraire 07/04/2026 Pas d'information CERTFR-2026-AVI-0404
https://www.mozilla.org/en-US/security/advisories/mfsa2026-27/
https://www.mozilla.org/en-US/security/advisories/mfsa2026-26/
https://www.mozilla.org/en-US/security/advisories/mfsa2026-25/
https://www.mozilla.org/en-US/security/advisories/mfsa2026-29/
https://www.mozilla.org/en-US/security/advisories/mfsa2026-28/
Mozilla Firefox, Thunderbird ESR, Thunderbird, Firefox ESR CVE-2026-5734 9.8 (NVD) Exécution de code arbitraire 07/04/2026 Pas d'information CERTFR-2026-AVI-0404
https://www.mozilla.org/en-US/security/advisories/mfsa2026-27/
https://www.mozilla.org/en-US/security/advisories/mfsa2026-25/
https://www.mozilla.org/en-US/security/advisories/mfsa2026-29/
https://www.mozilla.org/en-US/security/advisories/mfsa2026-28/
Mozilla Firefox, Thunderbird ESR, Thunderbird, Firefox ESR CVE-2026-5735 9.8 (NVD) Exécution de code arbitraire 07/04/2026 Pas d'information CERTFR-2026-AVI-0404
https://www.mozilla.org/en-US/security/advisories/mfsa2026-25/
https://www.mozilla.org/en-US/security/advisories/mfsa2026-28/
Ubuntu Ubuntu CVE-2025-68263 9.8 (NVD) Non spécifié par l'éditeur 06/04/2026 Pas d'information CERTFR-2026-AVI-0421
https://ubuntu.com/security/notices/USN-8152-1
GLPI GLPI CVE-2026-26263 9.8 (NVD) Injection SQL (SQLi) 03/04/2026 Pas d'information CERTFR-2026-AVI-0401
https://github.com/glpi-project/glpi/security/advisories/GHSA-346p-qj3v-9rxj
Juniper Networks JSI vLWC CVE-2026-33784 9.3 (NVD) Contournement de la politique de sécurité 08/04/2026 Pas d'information CERTFR-2026-AVI-0408
https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-vLWC-Default-password-is-not-required-to-be-changed-which-allows-unauthorized-high-privileged-access-CVE-2026-33784
Microsoft Azure Linux CVE-2026-34714 9.2 (NVD) Exécution de code arbitraire 01/04/2026 Pas d'information CERTFR-2026-AVI-0406
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-34714
Juniper Networks CTP OS CVE-2026-33771 9.1 (NVD) Contournement de la politique de sécurité 08/04/2026 Pas d'information CERTFR-2026-AVI-0408
https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-CTP-OS-Configuring-password-requirements-does-not-work-which-permits-the-use-of-weak-passwords-CVE-2026-33771
Apache Tomcat CVE-2025-66614 9.1 (NVD) Contournement de la politique de sécurité 23/03/2026 Pas d'information CERTFR-2026-AVI-0418
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.20
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.53
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.116

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Flowiseai Flowise CVE-2025-59528 10 Exécution de code arbitraire à distance 13/09/2025 Exploitée https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-3gcm-f6qx-ff7p
Nocobase Nocobase CVE-2026-34156 9.9 Exécution de code arbitraire à distance, Contournement de la politique de sécurité 30/03/2026Code d'exploitation publichttps://github.com/nocobase/nocobase/security/advisories/GHSA-px3p-vgh9-m57c
Tolgee Tolgee CVE-2026-32251 9.3 Atteinte à la confidentialité des données 12/03/2026Code d'exploitation publichttps://github.com/tolgee/tolgee-platform/security/advisories/GHSA-rcvv-64pq-vxfx
Apache ActiveMQ CVE-2026-34197 8.8 Exécution de code arbitraire à distance 07/04/2026Code d'exploitation publichttp://www.openwall.com/lists/oss-security/2026/04/06/3
OpenPrinting CUPS CVE-2026-34980 6.1 Exécution de code arbitraire à distance, Contournement de la politique de sécurité 03/04/2026Code d'exploitation publichttps://github.com/OpenPrinting/cups/security/advisories/GHSA-4852-v58g-6cwf
OpenPrinting CUPS CVE-2026-34990 5 Exécution de code arbitraire à distance, Contournement de la politique de sécurité 03/04/2026Code d'exploitation publichttps://github.com/OpenPrinting/cups/security/advisories/GHSA-c54j-2vqw-wpwp

Rappel des publications émises

Dans la période du 06 avril 2026 au 12 avril 2026, le CERT-FR a émis les publications suivantes :


Dans la période du 06 avril 2026 au 12 avril 2026, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 13 avril 2026
    Version initiale