Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 19
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Palo Alto Networks | PAN-OS | CVE-2026-0300 | 9.3 (NVD) | Exécution de code arbitraire à distance | 05/05/2026 | Exploitée | CERTFR-2026-AVI-0537 | https://security.paloaltonetworks.com/CVE-2026-0300 |
| Ivanti | Endpoint Manager Mobile (EPMM) | CVE-2026-6973 | 7.2 (NVD) | Exécution de code arbitraire à distance | 07/05/2026 | Exploitée | CERTFR-2026-AVI-0552 | https://www.ivanti.com/blog/may-2026-epmm-security-update |
| Progress | Moveit Automation | CVE-2026-4670 | 9.8 (NVD) | Contournement de la politique de sécurité | 30/04/2026 | Pas d'information | CERTFR-2026-AVI-0532 | https://community.progress.com/s/article/MOVEit-Automation-Critical-Security-Alert-Bulletin-April-2026-CVE-2026-4670-CVE-2026-5174 |
| Progress | Telerik Ui For Asp.Net Ajax | CVE-2026-6023 | 9.8 (NVD) | Exécution de code arbitraire à distance | 22/04/2026 | Pas d'information | CERTFR-2026-AVI-0542 | https://www.telerik.com/products/aspnet-ajax/documentation/knowledge-base/kb-security-deserialization-of-untrusted-data-cve-2026-6023 |
| Microsoft | Edge | CVE-2026-7333 | 9.6 (NVD) | Contournement de la politique de sécurité | 01/05/2026 | Pas d'information | CERTFR-2026-AVI-0525 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7333 |
| Mozilla | Firefox ESR | CVE-2026-7321 | 9.6 (NVD) | Contournement de la politique de sécurité | 30/04/2026 | Pas d'information | CERTFR-2026-AVI-0529 | https://www.mozilla.org/en-US/security/advisories/mfsa2026-39/ |
| Spring | Cloud Config | CVE-2026-40982 | 9.1 (NVD) | Atteinte à la confidentialité des données | 06/05/2026 | Pas d'information | CERTFR-2026-AVI-0543 | https://spring.io/security/cve-2026-40982 |
CVE-2026-6973 : Vulnérabilité Ivanti Endpoint Manager Mobile (EPMM)
Le 07 mai 2026, Ivanti a publié un avis concernant la vulnérabilité CVE-2026-6973 permettant à un attaquant ayant les droits d'administration, d'exécuter des commandes arbitraires
L'éditeur indique que la vulnérabilité CVE-2026-6973 est activement exploitée dans le cadre d'attaques ciblées. Celle-ci permet à un attaquant authentifié, avec les droits administrateur, de provoquer une exécution de code arbitraire à distance.
L'une des recommandations concernant les vulnérabilités critiques CVE-2026-1281 et CVE-2026-1340, mentionnées dans l'alerte CERTFR-2026-ALE-001 (cf. section Liens), était de réinitialiser tous les mots de passe des comptes EPMM locaux.
Si cette recommandation n'a pas été suivie, des attaquants peuvent réutiliser des mots de passe de comptes administrateurs découverts à cette occasion pour exploiter la vulnérabilité CVE-2026-6973.
Liens :
- https://www.ivanti.com/blog/may-2026-epmm-security-update
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0552/
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-001/
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Litellm | Litellm | CVE-2026-42208 | 9.3 | Non spécifié par l'éditeur | 08/05/2026 | Exploitée | https://github.com/BerriAI/litellm/security/advisories/GHSA-r75f-5x8p-qvmc |
| Norton | Secure VPN | CVE-2025-58074 | 8.8 | Élévation de privilèges | 04/05/2026 | Code d'exploitation public | |
| Tp-Link | Archer Ax53 Firmware | CVE-2026-30815 | 8.5 | Exécution de code arbitraire, Atteinte à la confidentialité des données, Atteinte à l'intégrité des données, Contournement de la politique de sécurité | 08/04/2026 | Code d'exploitation public | https://www.tp-link.com/us/support/faq/5055/ |
| Tp-Link | Archer Ax53 Firmware | CVE-2026-30818 | 8.5 | Exécution de code arbitraire, Atteinte à la confidentialité des données, Atteinte à l'intégrité des données, Contournement de la politique de sécurité | 08/04/2026 | Code d'exploitation public | https://www.tp-link.com/us/support/faq/5055/ |
| Tp-Link | Archer Ax53 Firmware | CVE-2026-30814 | 7.3 | Exécution de code arbitraire, Atteinte à la confidentialité des données, Atteinte à l'intégrité des données, Déni de service | 08/04/2026 | Code d'exploitation public | https://www.tp-link.com/us/support/faq/5055/ |
| Tp-Link | Archer Ax53 Firmware | CVE-2026-30816 | 6.8 | Atteinte à la confidentialité des données | 08/04/2026 | Code d'exploitation public | https://www.tp-link.com/us/support/faq/5055/ |
| Tp-Link | Archer Ax53 Firmware | CVE-2026-30817 | 6.8 | Atteinte à la confidentialité des données | 08/04/2026 | Code d'exploitation public | https://www.tp-link.com/us/support/faq/5055/ |
| Microsoft | 365 Copilot | CVE-2026-24299 | 5.3 | Exécution de code arbitraire à distance | 19/03/2026 | Code d'exploitation public | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24299 |
CVE-2026-43284 et CVE-2026-43500 : Multiples vulnérabilités dans les noyaux Linux
Le 08 mai 2026, plusieurs correctifs de sécurité du noyau Linux ont été publiés pour les vulnérabilités CVE-2026-43284 et CVE-2026-43500, dénommées "dirty frag". Ces vulnérabilités peuvent être combinées pour permettre à un utilisateur local d'obtenir des droits d'administration sur le système. Une preuve de concept est disponible publiquement.
