Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 23
Tableau récapitulatif :
CVE-2026-20245 : Vulnérabilité dans Cisco
Le 04 juin 2026, Cisco a publié un avis de sécurité relatif à la vulnérabilité CVE-2026-20245 affectant l'interface en ligne de commande de Cisco Catalyst SD-WAN Manager. L'éditeur n'a pas encore produit de version corrective et ne fournit pas de mesure d'atténuation pour cette vulnérabilité. Celle-ci est activement exploitée et permet à un attaquant authentifié d'élever ses privilèges localement. Pour ce faire, l'attaquant doit disposer de privilèges netadmin sur le système ciblé. Ces privilèges peuvent être obtenus via des identifiants valides ou en exploitant les vulnérabilités CVE-2026-20182 ou CVE-2026-20127. Cisco recommande d'appliquer les correctifs de sécurité du 14 mai 2026 afin de se prémunir de la vulnérabilité CVE-2026-20182 et de rechercher les indicateurs de compromission qu'il a fourni.Liens :
- /avis/CERTFR-2026-AVI-0699/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
CVE-2026-49975 : Vulnérabilité dans HTTP/2
Le 02 juin 2026, un chercheur en sécurité a publié un billet de blogue concernant la vulnérabilité CVE-2026-49975, surnomée HTTP/2 Bomb. Cette vulnérablité affecte les configurations HTTP/2 des serveurs web suivant :- F5 nginx versions antérieures à 1.29.8
- Apache httpd sans le module mod_http2 v2.0.41
- Microsoft IIS toutes versions
- Envoyproxy envoy toutes versions
- Cloudflare Pingora toute versions
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Mirasvit | Full Page Cache Warmer | CVE-2026-45247 | 9.3 | Exécution de code arbitraire à distance | 26/05/2026 | Exploitée | https://mirasvit.com/package/changelog/?package=mirasvit/module-cache-warmer |
| NetApp | NetApp HCI Baseboard Management Controller (BMC) - H300S/H500S/H700S/H410S, NetApp HCI Compute Node (Bootstrap OS), NetApp SolidFire & HCI Management Node, NetApp HCI Baseboard Management Controller (BMC) - H410C, NetApp SolidFire & HCI Storage Node (Element Software) | CVE-2022-0492 | 7.8 | Élévation de privilèges, Contournement de la politique de sécurité | 12/03/2026 | Exploitée | https://security.netapp.com/advisory/NTAP-20220419-0002 |
| Oracle | Weblogic Server | CVE-2024-21182 | 7.5 | Atteinte à la confidentialité des données | 16/07/2024 | Exploitée | https://www.oracle.com/security-alerts/cpujul2024.html |
| Solarwinds | Serv-U | CVE-2026-28318 | 7.5 | Déni de service à distance | 04/06/2026 | Exploitée | https://www.solarwinds.com/trust-center/security-advisories/CVE-2026-28318 |
| Microsoft | Windows | CVE-2026-41089 | 9.8 | Exécution de code arbitraire à distance | 13/05/2026 | Exploitée | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089 |
