Objet: Bulletin d'actualité CERTFR-2026-ACT-023

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 21

Tableau récapitulatif :

Vulnérabilités critiques du 18/05/26 au 24/05/26

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Drupal	Drupal	CVE-2026-9082	9.8 (NVD)	Injection SQL (SQLi)	20/05/2026	Exploitée	CERTFR-2026-AVI-0629	https://drupal.org/sa-core-2026-004
F5	NGINX	CVE-2026-42945	9.2 (NVD)	Exécution de code arbitraire à distance, Déni de service à distance	19/05/2026	Exploitée	CERTFR-2026-AVI-0612	https://my.f5.com/manage/s/article/K000161307
Microsoft	Azure	CVE-2026-42945	9.2 (NVD)	Exécution de code arbitraire à distance, Déni de service à distance	19/05/2026	Exploitée	CERTFR-2026-AVI-0612	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42945
Microsoft	Malware Protection Engine	CVE-2026-41091	7.8 (NVD)	Contournement de la politique de sécurité	19/05/2026	Exploitée	CERTFR-2026-AVI-0623	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41091
Microsoft	Defender Antimalware Platform	CVE-2026-45498	7.5 (NVD)	Déni de service	19/05/2026	Exploitée	CERTFR-2026-AVI-0623	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498
Trend Micro	Apex One, Vision One	CVE-2026-34926	6.7 (NVD)	Contournement de la politique de sécurité	21/05/2026	Exploitée	CERTFR-2026-AVI-0642	https://success.trendmicro.com/en-US/solution/KA-0023430
Microsoft	Windows Server 2025, Windows 11 25H2, Windows 11 24H2, Windows 11 26H1	CVE-2026-45585	6.8 (NVD)	Contournement de la politique de sécurité	19/05/2026	Code d'exploitation public	CERTFR-2026-AVI-0622	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585
Cisco	Secure Workload	CVE-2026-20223	10 (NVD)	Contournement de la politique de sécurité	20/05/2026	Pas d'information	CERTFR-2026-AVI-0628	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csw-pnbsa-g8WEnuy
Microsoft	Azure	CVE-2026-42822	10 (NVD)	Contournement de la politique de sécurité	18/05/2026	Pas d'information	CERTFR-2026-AVI-0611	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42822
Ubuntu	Ubuntu	CVE-2026-22984	9.8 (NVD)	Atteinte à la confidentialité des données	20/05/2026	Pas d'information	CERTFR-2026-AVI-0638	https://ubuntu.com/security/notices/USN-8278-1 https://ubuntu.com/security/notices/USN-8289-1
Ubuntu	Ubuntu	CVE-2026-31533	9.8 (NVD)	Non spécifié par l'éditeur	20/05/2026	Pas d'information	CERTFR-2026-AVI-0638	https://ubuntu.com/security/notices/USN-8280-1 https://ubuntu.com/security/notices/USN-8279-1 https://ubuntu.com/security/notices/USN-8278-1 https://ubuntu.com/security/notices/USN-8277-1 https://ubuntu.com/security/notices/USN-8289-1
Ubuntu	Ubuntu	CVE-2026-23112	9.8 (NVD)	Non spécifié par l'éditeur	19/05/2026	Pas d'information	CERTFR-2026-AVI-0638	https://ubuntu.com/security/notices/USN-8275-1 https://ubuntu.com/security/notices/USN-8255-3 https://ubuntu.com/security/notices/USN-8254-3 https://ubuntu.com/security/notices/USN-8273-1
IBM	Db2	CVE-2025-59059	9.8 (NVD)	Exécution de code arbitraire à distance, Exécution de code arbitraire	18/05/2026	Pas d'information	CERTFR-2026-AVI-0641	https://www.ibm.com/support/pages/node/7273312
IBM	Db2	CVE-2026-29045	9.8 (NVD)	Contournement de la politique de sécurité	18/05/2026	Pas d'information	CERTFR-2026-AVI-0641	https://www.ibm.com/support/pages/node/7273312
Microsoft	Edge Chromium	CVE-2026-45495	9.8 (NVD)	Exécution de code arbitraire à distance	15/05/2026	Pas d'information	CERTFR-2026-AVI-0607	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45495
Microsoft	Edge	CVE-2026-8511	9.6 (NVD)	Contournement de la politique de sécurité	15/05/2026	Pas d'information	CERTFR-2026-AVI-0607	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-8511
Microsoft	Edge	CVE-2026-8580	9.6 (NVD)	Contournement de la politique de sécurité	15/05/2026	Pas d'information	CERTFR-2026-AVI-0607	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-8580
F5	NGINX	CVE-2026-8711	9.2 (NVD)	Exécution de code arbitraire à distance	19/05/2026	Pas d'information	CERTFR-2026-AVI-0619	https://my.f5.com/manage/s/article/K000161307
Microsoft	Azure	CVE-2026-33845	9.1 (NVD)	Déni de service à distance, Atteinte à la confidentialité des données	07/05/2026	Pas d'information	CERTFR-2026-AVI-0612	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33845

CVE-2026-9082 : Vulnérabilité dans Drupal

La vulnérabilité CVE-2026-9082 permet une injection SQL (SQLi) sur les applications vulnérables qui utilisent PostgreSQL comme système de gestion de base de données.
Des codes d'attaques sont publiquement disponibles pour cette vulnérabilité et celle-ci est activement exploitée.

Liens :

• https://cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0629/
• https://drupal.org/sa-core-2026-004

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Microsoft	Windows Server 2008, Windows Vista, Windows Xp, Windows Server 2003, Windows 2000	CVE-2008-4250	9.8	Exécution de code arbitraire à distance		Exploitée	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-067 https://exchange.xforce.ibmcloud.com/vulnerabilities/46040 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2008-4250
Langflow	Langflow	CVE-2025-34291	9.4	Exécution de code arbitraire à distance		Exploitée	https://github.com/langflow-ai/langflow https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-34291 https://www.crowdsec.net/vulntracking-report/cve-2025-34291
Microsoft	Windows 2003 Server, Windows Xp, Directx, Windows Server 2003, Windows 2000	CVE-2009-1537	8.8	Exécution de code arbitraire à distance, Non spécifié par l'éditeur		Exploitée	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-028 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-1537
Adobe	Acrobat, Acrobat Reader	CVE-2009-3459	8.8	Exécution de code arbitraire à distance		Exploitée	http://blogs.adobe.com/psirt/2009/10/adobe_reader_and_acrobat_issue_1.html https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-3459
Microsoft	Internet Explorer	CVE-2010-0249	8.8	Exécution de code arbitraire à distance, Contournement de la politique de sécurité		Exploitée	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-002 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-0249
Microsoft	Internet Explorer	CVE-2010-0806	8.8	Exécution de code arbitraire à distance		Exploitée	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-018 <https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-0806
Google	Chrome	CVE-2026-5902	9.8	Atteinte à l'intégrité des données	09/04/2026	Code d'exploitation public	https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop.html
Microsoft	Edge	CVE-2026-5902	9.8	Atteinte à l'intégrité des données	09/04/2026	Code d'exploitation public	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5902
Linuxfoundation	Vitess	CVE-2026-27969	9.3	Non spécifié par l'éditeur		Code d'exploitation public	https://github.com/vitessio/vitess/commit/c565cab615bc962bda061dcd645aa7506c59ca4a https://github.com/vitessio/vitess/pull/19470 https://github.com/vitessio/vitess/security/advisories/GHSA-r492-hjgh-c9gw
Microsoft	Azure	CVE-2026-27965	8.4	Exécution de code arbitraire	04/03/2026	Code d'exploitation public	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-27965
Linux	Linux Kernel	CVE-2026-31635	7.5	Non spécifié par l'éditeur		Code d'exploitation public	https://git.kernel.org/stable/c/a2567217ade970ecc458144b6be469bc015b23e5 https://git.kernel.org/stable/c/beee051f259acd286fed64c32c2b31e6f5097eb5 https://git.kernel.org/stable/c/e2f1a80d8b1ed6a5ae585a399c2b46500bdcc305

Multiples vulnérabilités dans le noyau Linux

Ces dernières semaines, de nombreuses vulnérabilités permettant une élévation de privilège ont été découvertes dans le noyau Linux. Des preuves de concept sont disponibles publiquement et elles sont réputées activement exploitées. Certains correctifs sont disponibles, mais pas forcément pour toutes les distributions ainsi que pour les produits qui utilisent Linux comme système d'exploitation.

• Dirty Frag : CVE-2026-43284 et CVE-2026-43500
• Fragnesia : CVE-2026-46300
• Copy Fail : CVE-2026-31431
• Dirty Decrypt / Dirty CBC : pas d'identifiant CVE officiel, mais possiblement lié à la vulnérabilité CVE-2026-31635
• Pintheft : CVE-2026-43494

Liens :

• https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-020/
• https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-021/
• https://www.qnap.com/fr-fr/security-advisory/qsa-26-17
• https://www.axis.com/dam/public/d6/39/96/copy-fail-attackpdf-en-US-535190.pdf
• https://www.fortiguard.com/psirt/FG-IR-26-139
• https://csaf.arubanetworking.hpe.com/2026/hpe_aruba_networking_-_hpesbnw05059.txt

CVE-2024-12802 : Vulnérabilité dans les VPN Sonicwall

La vulnérabilité CVE-2024-12802 permet un contournement d'authentification. Le 21 mai 2026, SonicWall a mis à jour son avis de sécurité du 7 janvier 2025 pour indiquer que pour les utilisateurs des boîtiers GEN6 versions 6.5.5.1-6n, l'application seule de la version corrective n'était pas suffisante. En effet, des modifications doivent être effectuées à la configuration du serveur LDAP ainsi qu'à la liste des utilisateurs (cf. avis de sécurité SNWLID-2025-0001 de l'éditeur).

Liens :

• https://cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0013
• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0001
• https://reliaquest.com/blog/threat-spotlight-vpn-exploitation-when-patched-doesnt-mean-protected/

Incidents

Attaques par la chaîne d’approvisionnement et propagations par le groupe d'attaquants TeamPCP

TeamPCP est un groupe cybercriminel actif depuis au moins septembre 2025, connu pour l’exfiltration et la vente de bases de données et d'identifiants valides. Les opérateurs du groupe sont motivés par le gain financier et sont donc opportunistes dans le choix de leurs victimes. Ils recherchent également la notoriété auprès de l’écosystème cybercriminel ce qui pourrait expliquer la compromission d’entreprises IT majeures telles que GitHub.

Depuis la fin avril 2026, le groupe se distingue par plusieurs campagnes d'attaques par la chaîne d’approvisionnement et, en particulier, par la compromission de paquets NPM, PyPI et GitHub populaires.

Lorsqu'un paquet compromis est installé, un code malveillant est déployé. Le dernier en date, le ver mini Shai-Hulud, cherche à identifier de nombreux secrets sur la machine infectée (Github, NPM, clés SSH, Kubernetes, Claude Code, Azure, AWS, bases de données, etc.) puis à les exfiltrer de manière chiffrée. Si le ver récupère un jeton Github ou NPM, il cherche à s'injecter dans les paquets du développeur victime afin de se propager.

Les paquets compromis lors de la vague d'avril sont [1] :

• mbt@1.2.48
• @cap-js/sqlite@2.2.2
• @cap-js/postgres@2.2.2
• @cap-js/db-service@2.10.1
• @tanstack/* versions en date d'avril et mai 2026
• @squawk/* toutes versions
• @mistralai/mistralai@2.2.x
• mistralai==2.4.6 (PyPI)
• guardrails-ai==0.10.1 (PyPI)
• lightning==2.6.2 or lightning==2.6.3 (PyPI)

La semaine dernière, plus de trois cents paquets liés à @antv et maintenus par le compte atool ont été compromis [2].

Le ver implémente plusieurs mécanismes de persistance dont un script qui lance un daemon qui intègre un mécanisme de destruction via la commande rm -rf ~/ . s'il identifie une modification des secrets volés.


Le CERT-FR recommande donc de rechercher la présence de :

• paquets compromis, notamment dans les fichiers de dépendances (ex. package-lock.json, yarn.lock, pnpm-lock.yaml, requirements.txt, poetry.lock, etc.) ;
• moyens de persistance du code malveillant ;
• traces de compromissions laissées par l'attaquant ;
• communications avec l'infrastructure de l'attaquant.

Des marqueurs sont présents dans les rapports [1], [2] et [3], ils n'ont cependant pas été pleinement qualifiés par l'ANSSI.

En cas de compromission avérée, il convient de :

• mettre fin au daemon malveillant ;
• retirer les moyens de persistance ;
• désinstaller les paquets compromis ;
• changer TOUS les secrets présents sur la machine infectée ;

Le 13 mai 2026, le code source de Shai‑Hulud a été publié par TeamPCP sur le forum cybercriminel Breached[.]st ; il est donc probable que plusieurs autres acteurs cybercriminels utilisent ce code. L’ANSSI a connaissance de plusieurs victimes françaises actuellement affectées par cette campagne.

Liens :

• [1] https://www.cyberchief.ai/2026/05/mini-shai-hulud-breach-practical.html
• [2] https://snyk.io/fr/blog/mini-shai-hulud-antv-npm-supply-chain-attack/
• [3] https://www.microsoft.com/en-us/security/blog/2026/05/20/mini-shai-hulud-compromised-antv-npm-packages-enable-ci-cd-credential-theft/
• https://semgrep.dev/blog/2026/children-of-shai-hulud-an-analysis-of-the-the-evolution-delivery-and-spread-of-the-tanstack-shai-hulud-campaign/
• https://unit42.paloaltonetworks.com/fr/teampcp-supply-chain-attacks/
• https://grafana.com/blog/grafana-labs-security-update-latest-on-tanstack-npm-supply-chain-ransomware-incident/
• https://x.com/github/status/2056949168208552080
• https://cert.ssi.gouv.fr/actualite/CERTFR-2025-ACT-040/
• https://cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-022/
• https://cert.ssi.gouv.fr/actualite/CERTFR-2025-ACT-051/