Veille CVE
Chaque vulnérabilité majeure y est analysée : contexte, mécanique, versions impactées, comment patcher, PoC publics, références. Sans remplir la base, juste l'essentiel pour un RSSI, un SOC ou un DevSecOps.
CVE-2026-39987Critique9.3 KEV16 juin 2026 Marimo : la RCE pré-auth qui a vu un agent LLM piloter seul toute la post-exploitation
RCE critique pré-authentifiée dans le notebook Python marimo via un endpoint WebSocket sans authentification. Surtout : le premier cas confirmé in-the-wild où un agent LLM a enchaîné seul quatre pivots, de la RCE à l'exfiltration d'une base PostgreSQL en 68 minutes.
CVE-2026-50751Critique9.3 KEV15 juin 2026 Check Point VPN : le bypass d'auth IKEv1, saison 2 du contournement en bordure
Faille de flux logique dans la validation des certificats Remote Access / Mobile Access lors de l'échange IKEv1 : un attaquant distant non authentifié contourne l'authentification et ouvre un tunnel VPN sans mot de passe valide. Exploitée depuis le 7 mai, liée à un affilié du ransomware Qilin, au KEV.
CVE-2026-35273Critique9.8 KEV14 juin 2026 Oracle PeopleSoft : authentification manquante, prise de contrôle non authentifiée
Authentification manquante sur une fonction critique de PeopleSoft Enterprise PeopleTools : un attaquant distant non authentifié prend le contrôle de l'instance, jusqu'à la RCE. Exploitée comme zero-day par ShinyHunters (UNC6240), ajoutée au KEV le 12 juin sous BOD 26-04.
CVE-2026-25592Critique9.913 juin 2026 Semantic Kernel : quand un prompt injecté ouvre un shell (CVE-2026-25592 & -26030)
Deux vulnérabilités CVSS 9.9 dans le framework d'agents Microsoft Semantic Kernel : une injection de prompt permet l'exécution de code, côté .NET via une fonction de téléchargement sur-exposée, côté Python via un eval() dans le filtrage du vector store. Microsoft fournit un CTF pour s'entraîner.
CVE-2025-32711Critique9.310 juin 2026 EchoLeak : le patient zéro du zéro-clic par injection de prompt (M365 Copilot)
EchoLeak (CVE-2025-32711) est le premier cas documenté d'injection de prompt zéro-clic weaponisée pour exfiltrer des données dans un système IA en production : un simple e-mail ouvert dans M365 Copilot suffisait. L'article de référence pour comprendre la menace 2026.
CVE-2026-45247Critique9.8 KEV10 juin 2026 Mirasvit Full Page Cache Warmer : un cookie désérialisé qui ouvre la RCE sur Magento
Injection d'objet PHP dans l'extension Mirasvit Full Page Cache Warmer pour Magento 2 : une partie d'un cookie est passée à unserialize() sans restriction de classes, menant à la RCE non authentifiée. CVSS 9.8, corrigé en 1.11.12, ajouté au KEV le 3 juin. Niche mais activement exploité.
CVE-2026-26980Critique9.431 mai 2026 Ghost CMS : une SQLi aveugle non authentifiée livre la clé Admin
Une injection SQL aveugle dans la Content API publique de Ghost permet de lire n'importe quelle table, dont la clé Admin, en une seule requête non authentifiée. Plus de 700 domaines compromis. Découverte par Anthropic avec Claude.
CVE-2026-2743Critique9.831 mai 2026 SEPPMail : un path traversal pré-auth qui mène à la RCE
Une passerelle de messagerie sécurisée exposée : path traversal plus upload non restreint permettent à un attaquant non authentifié de déposer puis d'exécuter un fichier arbitraire. Pas d'exploitation confirmée, mais cible évidente.
CVE-2026-35616Critique9.131 mai 2026 FortiClient EMS : un bypass d'auth qui contamine tout le parc
Un bypass d'authentification pré-auth sur le plan de management EMS, exploité comme zero-day pour pousser l'infostealer EKZ vers tous les endpoints gérés. Une seule compromission EMS expose tout le parc.
CVE-2026-45321Critique9.6 KEV31 mai 2026 TanStack npm : 84 versions piégées via un trusted-publisher OIDC
84 versions malveillantes publiées sur 42 paquets @tanstack/* en six minutes, via le vol du jeton OIDC trusted-publisher de GitHub Actions. Le payload : un voleur d'identifiants. Premier maillon de la campagne Mini Shai-Hulud.
CVE-2026-48027Critique9.3 KEV31 mai 2026 Nx Console : l'extension VS Code piégée qui moissonne les secrets dev
Une version piégée de l'extension Nx Console (2,2 M d'installations) publiée 11 minutes sur le Marketplace, suffisante pour moissonner les secrets des postes dev via l'auto-update. Le maillon central de Mini Shai-Hulud.
CVE-2026-8398Critique KEV31 mai 2026 DAEMON Tools Lite : l'installeur signé qui exécute du code attaquant
Trois binaires signés et distribués depuis le site officiel ont été trojanisés après compromission de la chaîne de build de l'éditeur. La signature valide ne garantit plus l'intégrité. Troisième vecteur de Mini Shai-Hulud.
CVE-2024-3094Critique10.0 KEVEPSS 95%29 mars 2024 XZ Utils Backdoor : la supply chain qui a fait trembler tout Linux
Une porte dérobée sophistiquée placée dans la bibliothèque xz-utils (liblzma), découverte par hasard par un ingénieur Microsoft à cause d'une latence anormale sur SSH. Patient zéro d'une nouvelle ère de la supply chain offensive.
CVE-2024-21413Critique9.813 févr. 2024 MonikerLink (Outlook) : un clic suffit, sans même ouvrir la pièce jointe
Une faille dans le parsing des liens Outlook qui contourne Protected View et permet à un attaquant de capter les hashes NTLM ou d'exécuter du code via un simple aperçu du message : pas d'ouverture de pièce jointe requise.