Veille CVE
Chaque vulnérabilité majeure y est analysée : contexte, mécanique, versions impactées, comment patcher, PoC publics, références. Sans remplir la base, juste l'essentiel pour un RSSI, un SOC ou un DevSecOps.
CVE-2026-42271Élevée8.7 KEV15 juin 2026 LiteLLM : une injection de commande dans les endpoints MCP qui expose toutes vos clés LLM
Injection de commande dans les endpoints preview MCP de LiteLLM, qui acceptaient une config serveur stdio complète (command, args, env). Chaînée avec une bascule d'authentification Starlette, elle donne une RCE non authentifiée sur une passerelle qui centralise les clés API de tous vos fournisseurs LLM.
CVE-2026-42897Élevée8.1 KEV13 juin 2026 Exchange / OWA : un XSS exploité, pas la RCE serveur qu'annonçaient les titres
CWE-79 dans Outlook on the Web : un e-mail forgé ouvert dans OWA exécute du JavaScript arbitraire dans la session de l'utilisateur (vol de session, usurpation, accès boîte). CVSS 8.1, exploité depuis le 14 mai, au KEV le 15 mai. Ce n'est pas la RCE serveur que beaucoup de titres ont laissé entendre.
CVE-2026-30615Élevée8.012 juin 2026 MCP « by design » : la RCE zéro-clic de Windsurf et la faille architecturale du protocole
RCE zéro-clic dans Windsurf via injection de prompt qui enregistre un serveur MCP malveillant. Au-delà du cas Windsurf, la recherche OX Security pointe une faille architecturale du Model Context Protocol touchant Cursor, VS Code, Claude Code et Gemini-CLI, qu'Anthropic a refusé de corriger au niveau du protocole.
CVE-2026-49160Élevée7.512 juin 2026 HTTP/2 Bomb côté Windows : deux failles, deux périmètres à ne pas confondre
Déclinaison Windows de l'HTTP/2 Bomb : un déni de service distant (CVSS 7.5) corrigé via un nouveau réglage registre MaxHeadersCount. À ne pas confondre avec la variante multi-serveurs CVE-2026-49975 (Nginx, Apache, Envoy) : même classe d'attaque, périmètres et correctifs distincts.
CVE-2026-33626Élevée11 juin 2026 LMDeploy : l'IA détournée en proxy d'attaque (SSRF sur le moteur d'inférence)
SSRF dans le moteur d'inférence LMDeploy : l'endpoint vision-LLM charge une URL d'image sans valider les adresses internes. Exploité moins de 12 heures après divulgation pour scanner le réseau interne et accéder aux métadonnées cloud. Correctif en 0.12.3.
CVE-2026-46333Élevée7.811 juin 2026 Noyau Linux (ssh-keysign-pwn) : élévation locale vers root et fuite de secrets
Race condition dans __ptrace_may_access() du noyau Linux : un utilisateur local non privilégié lit des fichiers sensibles (/etc/shadow, clés SSH) et exécute du code en root. Exploits publics en circulation, correctifs SUSE et upstream disponibles. Présent dans mainline depuis 2016.
CVE-2026-0257Élevée7.8 KEV31 mai 2026 PAN-OS GlobalProtect : le bypass d'auth qui ouvre le VPN interne
Un attaquant distant non authentifié force l'appliance à traiter sa session comme déjà authentifiée et ouvre un tunnel VPN vers le réseau interne. Exploitation active confirmée, ajout au KEV le 29 mai.
CVE-2024-6387Élevée8.101 juil. 2024 regreSSHion : la race condition qui a remis SSH sur la table
Une régression d'une CVE de 2006 (CVE-2006-5051) qui revient hanter OpenSSH sous glibc : exploitation par race condition sur le SIGALRM handler. Difficile à exploiter, mais déclenchable à distance, sans authentification, et conduisant à du code root.