Bulletin d'actualité CERTFR-2026-ACT-028

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 26

Tableau récapitulatif :

Vulnérabilités critiques du 22/06/26 au 28/06/26

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Tenable	Identity Exposure	CVE-2025-55315	9.9 (NVD)	Contournement de la politique de sécurité	23/06/2026	Pas d'information	CERTFR-2026-AVI-0796	https://www.tenable.com/security/tns-2026-16
Tenable	Identity Exposure	CVE-2026-31789	9.8 (NVD)	Exécution de code arbitraire, Déni de service	23/06/2026	Pas d'information	CERTFR-2026-AVI-0796	https://www.tenable.com/security/tns-2026-16
Ubuntu	Ubuntu	CVE-2026-31533	9.8 (NVD)	Non spécifié par l'éditeur	22/06/2026	Pas d'information	CERTFR-2026-AVI-0806	https://ubuntu.com/security/notices/USN-8462-1
Microsoft	Azure Linux	CVE-2026-9698	9.8 (NVD)	Non spécifié par l'éditeur	17/06/2026	Pas d'information	CERTFR-2026-AVI-0792	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9698
Google	Chrome	CVE-2026-13028	9.6 (NVD)	Contournement de la politique de sécurité	23/06/2026	Pas d'information	CERTFR-2026-AVI-0801	https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_0482630350.html
Google	Chrome	CVE-2026-13032	9.6 (NVD)	Contournement de la politique de sécurité	23/06/2026	Pas d'information	CERTFR-2026-AVI-0801	https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_0482630350.html
Microsoft	Edge	CVE-2026-12440	9.6 (NVD)	Contournement de la politique de sécurité	19/06/2026	Pas d'information	CERTFR-2026-AVI-0791	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-12440
Tenable	Identity Exposure	CVE-2025-55130	9.1 (NVD)	Atteinte à la confidentialité des données, Contournement de la politique de sécurité	23/06/2026	Pas d'information	CERTFR-2026-AVI-0796	https://www.tenable.com/security/tns-2026-16
Tenable	Identity Exposure	CVE-2026-28386	9.1 (NVD)	Atteinte à la confidentialité des données, Déni de service	23/06/2026	Pas d'information	CERTFR-2026-AVI-0796	https://www.tenable.com/security/tns-2026-16
Tenable	Identity Exposure	CVE-2026-34182	9.1 (NVD)	Atteinte à l'intégrité des données, Contournement de la politique de sécurité	23/06/2026	Pas d'information	CERTFR-2026-AVI-0796	https://www.tenable.com/security/tns-2026-16

CVE-2026-47729 : Vulnérabilité dans Squid

Le 23 juin 2026, l'éditeur diffusait la version 7.6 de Squid corrigeant une vulnérabilité qui permet à un attaquant de provoquer une atteinte à la confidentialité. La vulnérabilité surnommée Squidbleed est présente dans la passerelle FTP. La vulnérabilité permet à un attaquant d'accéder en lecture à des transactions aléatoires sans rapport avec la requête initiale. Pour exploiter cette vulnérabilité, l'attaquant doit être un client de confiance. L'éditeur fournit une liste de contrôle d'accès comme moyen de contournement. Des preuves de concept sont disponibles.

Liens :

https://github.com/squid-cache/squid/security/advisories/GHSA-8c37-pxjq-qwrg

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Ui	Unas 4 Firmware, Unifi Express 7 Firmware, Unas Pro 4 Firmware, Unifi Network Video Recorder Pro Firmware, Unifi Os Server, Unifi Cloud Gateway Max Firmware, Unifi Dream Router Firmware, Unifi Network Video Recorder G2 Pro Firmware, Unifi Dream Machine Beast Firmware, Unifi Cloud Gateway Industrial Firmware, Unas 2 Firmware, Unifi Network Video Recorder Instant Firmware, Unifi Network Video Recorder G2 Firmware, Unifi Dream Wall Firmware, Unifi Dream Router 5G Max Firmware, Unifi Cloud Gateway Fiber Firmware, Unifi Cloudkey Enterprise Firmware, Enterprise Network Video Recorder Firmware, Unifi Dream Router 7 Firmware, Unifi Dream Machine Pro Max Firmware, Enterprise Network Video Recorder Core Firmware, Unifi Dream Machine Special Edition Firmware, Unifi Cloudkey Firmware, Unas Pro 8 Firmware, Enterprise Fortress Gateway Firmware, Unifi Dream Machine Pro Firmware, Unifi Network Video Recorder Firmware, Unifi Cloud Key Plus Firmware, Unifi Dream Machine Firmware, Unas Pro Firmware, Unifi Cloud Gateway Ultra Firmware	CVE-2026-34908	10	Contournement de la politique de sécurité	22/05/2026	Exploitée	https://community.ui.com/releases/Security-Advisory-Bulletin-064-064/84811c09-4cf4-42ab-bd61-cc994445963b
Ui	Unas 4 Firmware, Unifi Express 7 Firmware, Unas Pro 4 Firmware, Unifi Network Video Recorder Pro Firmware, Unifi Os Server, Unifi Express Firmware, Unifi Cloud Gateway Max Firmware, Unifi Dream Router Firmware, Unifi Network Video Recorder G2 Pro Firmware, Unifi Dream Machine Beast Firmware, Unifi Cloud Gateway Industrial Firmware, Unas 2 Firmware, Unifi Network Video Recorder Instant Firmware, Unifi Network Video Recorder G2 Firmware, Unifi Dream Wall Firmware, Unifi Dream Router 5G Max Firmware, Unifi Cloud Gateway Fiber Firmware, Unifi Cloudkey Enterprise Firmware, Enterprise Network Video Recorder Firmware, Unifi Dream Router 7 Firmware, Unifi Dream Machine Pro Max Firmware, Enterprise Network Video Recorder Core Firmware, Unifi Dream Machine Special Edition Firmware, Unifi Cloudkey Firmware, Unas Pro 8 Firmware, Enterprise Fortress Gateway Firmware, Unifi Dream Machine Pro Firmware, Unifi Network Video Recorder Firmware, Unifi Cloud Key Plus Firmware, Unifi Dream Machine Firmware, Unas Pro Firmware, Unifi Cloud Gateway Ultra Firmware	CVE-2026-34909	10	Non spécifié par l'éditeur	22/05/2026	Exploitée	https://community.ui.com/releases/Security-Advisory-Bulletin-064-064/84811c09-4cf4-42ab-bd61-cc994445963b
Langflow	Langflow	CVE-2026-33017	9.3	Exécution de code arbitraire à distance	20/03/2026	Exploitée	https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvx
Ptc	Flexplm, Windchill Pdmlink	CVE-2026-12569	9.3	Exécution de code arbitraire à distance	18/06/2026	Exploitée	https://www.ptc.com/en/support/article/CS473270
Cisco	Unified Communications, Unified Communications Manager	CVE-2026-20230	8.6	Falsification de requêtes côté serveur (SSRF)	03/06/2026	Exploitée	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW

Rappel des publications émises

Dans la période du 22 juin 2026 au 28 juin 2026, le CERT-FR a émis les publications suivantes :

CERTFR-2026-AVI-0789 : Vulnérabilité dans PaperCut Print Deploy Client
CERTFR-2026-AVI-0790 : Vulnérabilité dans CPython pour Windows
CERTFR-2026-AVI-0791 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2026-AVI-0792 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2026-AVI-0793 : Multiples vulnérabilités dans Postfix
CERTFR-2026-AVI-0794 : Multiples vulnérabilités dans Moodle
CERTFR-2026-AVI-0795 : Multiples vulnérabilités dans Squid
CERTFR-2026-AVI-0796 : Multiples vulnérabilités dans Tenable Identity Exposure
CERTFR-2026-AVI-0797 : Multiples vulnérabilités dans cURL et libcurl
CERTFR-2026-AVI-0798 : Multiples vulnérabilités dans Microsoft Azure Linux
CERTFR-2026-AVI-0799 : Multiples vulnérabilités dans GitLab
CERTFR-2026-AVI-0800 : Multiples vulnérabilités dans CPython
CERTFR-2026-AVI-0801 : Multiples vulnérabilités dans Google Chrome
CERTFR-2026-AVI-0802 : Multiples vulnérabilités dans Microsoft Azure Linux
CERTFR-2026-AVI-0803 : Multiples vulnérabilités dans Google Chrome
CERTFR-2026-AVI-0804 : Multiples vulnérabilités dans Tenable Nessus
CERTFR-2026-AVI-0805 : Multiples vulnérabilités dans Asterisk
CERTFR-2026-AVI-0806 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2026-AVI-0807 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2026-AVI-0808 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2026-AVI-0809 : Multiples vulnérabilités dans le noyau Linux de Debian
CERTFR-2026-AVI-0810 : Multiples vulnérabilités dans les produits IBM

Référence	CERTFR-2026-ACT-028
Titre	Bulletin d'actualité CERTFR-2026-ACT-028
Date de la première version	29 juin 2026
Date de la dernière version	29 juin 2026
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-028

Gestion du document

Vulnérabilités significatives de la semaine 26

Tableau récapitulatif :

CVE-2026-47729 : Vulnérabilité dans Squid

Liens :

Autres vulnérabilités

Tableau récapitulatif :

Rappel des publications émises

Gestion détaillée du document