Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 22
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Joomla! | Joomla! | CVE-2026-48902 | 9.8 (NVD) | Contournement de la politique de sécurité | 26/05/2026 | Pas d'information | CERTFR-2026-AVI-0618 | https://developer.joomla.org/security-centre/1050-20260518-core-transport-encryption-downgrade-for-password-and-username-reset-links.html |
| Veeam | Veeam Service Provider Console | CVE-2026-32998 | 9.4 (NVD) | Exécution de code arbitraire à distance | 27/05/2026 | Pas d'information | CERTFR-2026-AVI-0657 | https://www.veeam.com/kb4853 https://www.veeam.com/kb4856 |
| Oracle | Database Server | CVE-2026-46833 | 9 (NVD) | Atteinte à la confidentialité des données, Atteinte à l'intégrité des données | 28/05/2026 | Pas d'information | CERTFR-2026-AVI-0662 | https://www.oracle.com/security-alerts/cspumay2026.html |
| Samba | Samba | CVE-2026-4408 | 10 (Samba) | Exécution de code arbitraire à distance | 26/05/2026 | Pas d'information | CERTFR-2026-AVI-0651 | https://www.samba.org/samba/security/CVE-2026-4408.html |
| Samba | Samba | CVE-2026-4480 | 10 (Samba) | Exécution de code arbitraire à distance | 26/05/2026 | Pas d'information | CERTFR-2026-AVI-0651 | https://www.samba.org/samba/security/CVE-2026-4480.html |
Multiples Vulnérabilités dans Roundcube
Le 24 mai 2026, Roundcube a publié un avis concernant plusieurs vulnérabilités permettant par exemple, une exécution de code arbitraire à distance et une injection SQL sans authentification. Ces vulnérabilités sont corrigées dans les versions 1.6.16 et 1.7.1.
Liens
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Litespeedtech | Litespeed Whm Plugin, Litespeed Cpanel Plugin | CVE-2026-48172 | 10 | Élévation de privilèges | 21/05/2026 | Exploitée | https://blog.litespeedtech.com/2026/05/21/security-update-for-litespeed-cpanel-plugin/ |
| Disc-Soft | Daemon Tools | CVE-2026-8398 | 9.3 | Contournement de la politique de sécurité | 15/05/2026 | Exploitée | https://blog.daemon-tools.cc/post/security-incident |
| Nx | Nx Console | CVE-2026-48027 | 9.3 | Non spécifié par l'éditeur | 27/05/2026 | Exploitée | https://nx.dev/blog/nx-console-v18-95-0-postmortem#indicators-of-compromise |
| SonicWALL | SonicOS | CVE-2024-12802 | 9.1 | Contournement de la politique de sécurité | 09/01/2025 | Exploitée | https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0001 |
| Paloalto networks | Pan-Os, Prisma Access | CVE-2026-0257 | 7.8 | Contournement de la politique de sécurité | 13/05/2026 | Exploitée | https://security.paloaltonetworks.com/CVE-2026-0257 |
| Mediaarea | Mediainfolib | CVE-2026-25104 | 7.8 | Non spécifié par l'éditeur | 26/05/2026 | Code d'exploitation public | |
| Mediaarea | Mediainfolib | CVE-2026-25713 | 7.8 | Non spécifié par l'éditeur | 26/05/2026 | Code d'exploitation public |
