S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 mai 2026
N° CERTFR-2026-ACT-022
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-022

Gestion du document

Référence CERTFR-2026-ACT-022
Titre Bulletin d'actualité CERTFR-2026-ACT-022
Date de la première version18 mai 2026
Date de la dernière version18 mai 2026
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 20

Tableau récapitulatif :

Vulnérabilités critiques du 11/05/26 au 17/05/26
Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Microsoft Exchange Server Subscription Edition RTM, Exchange Server 2019 Cumulative Update 14, Exchange Server 2016 Cumulative Update 23, Exchange Server 2019 Cumulative Update 15 CVE-2026-42897 8.1 (NVD) Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité 14/05/2026 Exploitée CERTFR-2026-AVI-0599
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897
F5 NGINX Plus, NGINX OpenSource CVE-2026-42945 8.1 (NVD) Exécution de code arbitraire à distance 13/05/2026 Exploitée CERTFR-2026-AVI-0591
https://my.f5.com/manage/s/article/K000161019
Traefik Traefik CVE-2026-44774 Contournement de la politique de sécurité 11/05/2026Code d'exploitation publicCERTFR-2026-AVI-0561
https://github.com/traefik/traefik/security/advisories/GHSA-96qj-4jj5-wcjc
Apple macOS, iPadOS, watchOS, tvOS, visionOS, iOS CVE-2026-28992 Déni de service à distance 11/05/2026Code d'exploitation publicCERTFR-2026-AVI-0563
https://support.apple.com/en-us/127110
https://support.apple.com/en-us/127111
https://support.apple.com/en-us/127115
https://support.apple.com/en-us/127116
https://support.apple.com/en-us/127117
https://support.apple.com/en-us/127118
https://support.apple.com/en-us/127119
https://support.apple.com/en-us/127120
MongoDB Ops Manager Server CVE-2026-33937 9.8 (NVD) Exécution de code arbitraire à distance 12/05/2026 Pas d'information CERTFR-2026-AVI-0581
https://www.mongodb.com/docs/ops-manager/current/release-notes/application/#onprem-server-8.0.23
Ubuntu Ubuntu CVE-2025-68263 9.8 (NVD) Non spécifié par l'éditeur 11/05/2026 Pas d'information CERTFR-2026-AVI-0602
https://ubuntu.com/security/notices/USN-8261-1
https://ubuntu.com/security/notices/USN-8260-1
https://ubuntu.com/security/notices/USN-8258-1
https://ubuntu.com/security/notices/USN-8265-1
SAP S/4HANA CVE-2026-34260 9.6 (NVD) Exécution de code arbitraire à distance, Déni de service à distance, Atteinte à la confidentialité des données, Atteinte à l'intégrité des données, Injection SQL (SQLi) 12/05/2026 Pas d'information CERTFR-2026-AVI-0567
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html
SAP Commerce Cloud CVE-2026-34263 9.6 (NVD) Exécution de code arbitraire à distance, Atteinte à la confidentialité des données, Contournement de la politique de sécurité 12/05/2026 Pas d'information CERTFR-2026-AVI-0567
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html
Microsoft Edge CVE-2026-7908 9.6 (NVD) Contournement de la politique de sécurité 07/05/2026 Pas d'information CERTFR-2026-AVI-0557
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7908
Microsoft Edge CVE-2026-7910 9.6 (NVD) Contournement de la politique de sécurité 07/05/2026 Pas d'information CERTFR-2026-AVI-0557
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7910
PHP PHP CVE-2026-6722 9.5 (NVD) Exécution de code arbitraire à distance 07/05/2026 Pas d'information CERTFR-2026-AVI-0553
https://www.php.net/ChangeLog-8.php#8.2.31
https://www.php.net/ChangeLog-8.php#8.4.21
https://www.php.net/ChangeLog-8.php#8.3.31
https://www.php.net/ChangeLog-8.php#8.5.6
Siemens SIMATIC S7 PLCs Web Server CVE-2026-25786 9.3 (NVD) Exécution de code arbitraire à distance 12/05/2026 Pas d'information CERTFR-2026-AVI-0565
https://cert-portal.siemens.com/productcert/html/ssa-688146.html
Siemens SIMATIC S7 PLCs Web Server CVE-2026-25787 9.3 (NVD) Exécution de code arbitraire à distance 12/05/2026 Pas d'information CERTFR-2026-AVI-0565
https://cert-portal.siemens.com/productcert/html/ssa-688146.html

CVE-2026-20182 : Vulnérabilité dans Cisco Catalyst SD-WAN

Le 14 mai 2026, Cisco a publié un avis de sécurité relatif à la vulnérabilité CVE-2026-20182 affectant Catalyst SD-WAN. Cette vulnérabilité permet à un attaquant non authentifié de contourner l'authentification et d'obtenir des privilèges d'administrateur sur le système ciblé.
L'éditeur a produit des versions correctives ainsi que des recommandations sur la préservation de preuves et de recherches de compromission. La CISA l'a ajoutée à son catalogue des vulnérabilités réputées exploitées le 14 mai 2026.

Rappel des alertes CERT-FR

Vulnérabilité dans Microsoft Exchange Server

Le 14 mai 2026, Microsoft a publié un avis de sécurité concernant la vulnérabilité CVE-2026-42897 affectant Exchange Server. Elle permet à un attaquant non authentifié de provoquer une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité lorsqu'un utilisateur ouvre un courriel piégé dans Outlook Web Access.
Microsoft indique que la vulnérabilité CVE-2026-42897 est activement exploitée.

Liens :

Incidents

Attaque par la chaîne d’approvisionnement de plusieurs paquets npm TanStack

Le 11 mai 2026, plusieurs paquets NPM TanStack ont été compromis. L'avis de sécurité fournit la liste des versions des paquets réputés compromis. Des indicateurs de compromission (non qualifiés par le CERT-FR) sont fournis dans le billet de blogue.

Le CERT-FR a connaissance d'exploitations par cette chaîne d'approvisionnement.

Liens :

Rappel des publications émises

Dans la période du 11 mai 2026 au 17 mai 2026, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 18 mai 2026
    Version initiale