Veille CVE
Chaque vulnérabilité majeure y est analysée : contexte, mécanique, versions impactées, comment patcher, PoC publics, références. Sans remplir la base, juste l'essentiel pour un RSSI, un SOC ou un DevSecOps.
CVE-2026-39987Critique9.3 KEV16 juin 2026 Marimo : la RCE pré-auth qui a vu un agent LLM piloter seul toute la post-exploitation
RCE critique pré-authentifiée dans le notebook Python marimo via un endpoint WebSocket sans authentification. Surtout : le premier cas confirmé in-the-wild où un agent LLM a enchaîné seul quatre pivots, de la RCE à l'exfiltration d'une base PostgreSQL en 68 minutes.
CVE-2026-42271Élevée8.7 KEV15 juin 2026 LiteLLM : une injection de commande dans les endpoints MCP qui expose toutes vos clés LLM
Injection de commande dans les endpoints preview MCP de LiteLLM, qui acceptaient une config serveur stdio complète (command, args, env). Chaînée avec une bascule d'authentification Starlette, elle donne une RCE non authentifiée sur une passerelle qui centralise les clés API de tous vos fournisseurs LLM.
CVE-2026-50751Critique9.3 KEV15 juin 2026 Check Point VPN : le bypass d'auth IKEv1, saison 2 du contournement en bordure
Faille de flux logique dans la validation des certificats Remote Access / Mobile Access lors de l'échange IKEv1 : un attaquant distant non authentifié contourne l'authentification et ouvre un tunnel VPN sans mot de passe valide. Exploitée depuis le 7 mai, liée à un affilié du ransomware Qilin, au KEV.
CVE-2026-34926Moyenne6.7 KEV14 juin 2026 Trend Micro Apex One : un directory traversal qui transforme l'EDR en vecteur de diffusion
Directory traversal sur le serveur Apex One On-Premise : en modifiant une table de clés, un attaquant injecte du code malveillant distribué aux agents via le canal de mise à jour de confiance. Exploitée en zero-day, ajoutée au KEV dès la divulgation. Le score modéré masque une exposition réelle.
CVE-2026-35273Critique9.8 KEV14 juin 2026 Oracle PeopleSoft : authentification manquante, prise de contrôle non authentifiée
Authentification manquante sur une fonction critique de PeopleSoft Enterprise PeopleTools : un attaquant distant non authentifié prend le contrôle de l'instance, jusqu'à la RCE. Exploitée comme zero-day par ShinyHunters (UNC6240), ajoutée au KEV le 12 juin sous BOD 26-04.
CVE-2026-25592Critique9.913 juin 2026 Semantic Kernel : quand un prompt injecté ouvre un shell (CVE-2026-25592 & -26030)
Deux vulnérabilités CVSS 9.9 dans le framework d'agents Microsoft Semantic Kernel : une injection de prompt permet l'exécution de code, côté .NET via une fonction de téléchargement sur-exposée, côté Python via un eval() dans le filtrage du vector store. Microsoft fournit un CTF pour s'entraîner.
CVE-2026-42897Élevée8.1 KEV13 juin 2026 Exchange / OWA : un XSS exploité, pas la RCE serveur qu'annonçaient les titres
CWE-79 dans Outlook on the Web : un e-mail forgé ouvert dans OWA exécute du JavaScript arbitraire dans la session de l'utilisateur (vol de session, usurpation, accès boîte). CVSS 8.1, exploité depuis le 14 mai, au KEV le 15 mai. Ce n'est pas la RCE serveur que beaucoup de titres ont laissé entendre.
CVE-2026-30615Élevée8.012 juin 2026 MCP « by design » : la RCE zéro-clic de Windsurf et la faille architecturale du protocole
RCE zéro-clic dans Windsurf via injection de prompt qui enregistre un serveur MCP malveillant. Au-delà du cas Windsurf, la recherche OX Security pointe une faille architecturale du Model Context Protocol touchant Cursor, VS Code, Claude Code et Gemini-CLI, qu'Anthropic a refusé de corriger au niveau du protocole.
CVE-2026-49160Élevée7.512 juin 2026 HTTP/2 Bomb côté Windows : deux failles, deux périmètres à ne pas confondre
Déclinaison Windows de l'HTTP/2 Bomb : un déni de service distant (CVSS 7.5) corrigé via un nouveau réglage registre MaxHeadersCount. À ne pas confondre avec la variante multi-serveurs CVE-2026-49975 (Nginx, Apache, Envoy) : même classe d'attaque, périmètres et correctifs distincts.
CVE-2026-33626Élevée11 juin 2026 LMDeploy : l'IA détournée en proxy d'attaque (SSRF sur le moteur d'inférence)
SSRF dans le moteur d'inférence LMDeploy : l'endpoint vision-LLM charge une URL d'image sans valider les adresses internes. Exploité moins de 12 heures après divulgation pour scanner le réseau interne et accéder aux métadonnées cloud. Correctif en 0.12.3.
CVE-2026-46333Élevée7.811 juin 2026 Noyau Linux (ssh-keysign-pwn) : élévation locale vers root et fuite de secrets
Race condition dans __ptrace_may_access() du noyau Linux : un utilisateur local non privilégié lit des fichiers sensibles (/etc/shadow, clés SSH) et exécute du code en root. Exploits publics en circulation, correctifs SUSE et upstream disponibles. Présent dans mainline depuis 2016.
CVE-2025-32711Critique9.310 juin 2026 EchoLeak : le patient zéro du zéro-clic par injection de prompt (M365 Copilot)
EchoLeak (CVE-2025-32711) est le premier cas documenté d'injection de prompt zéro-clic weaponisée pour exfiltrer des données dans un système IA en production : un simple e-mail ouvert dans M365 Copilot suffisait. L'article de référence pour comprendre la menace 2026.
CVE-2026-45247Critique9.8 KEV10 juin 2026 Mirasvit Full Page Cache Warmer : un cookie désérialisé qui ouvre la RCE sur Magento
Injection d'objet PHP dans l'extension Mirasvit Full Page Cache Warmer pour Magento 2 : une partie d'un cookie est passée à unserialize() sans restriction de classes, menant à la RCE non authentifiée. CVSS 9.8, corrigé en 1.11.12, ajouté au KEV le 3 juin. Niche mais activement exploité.
CVE-2026-0257Élevée7.8 KEV31 mai 2026 PAN-OS GlobalProtect : le bypass d'auth qui ouvre le VPN interne
Un attaquant distant non authentifié force l'appliance à traiter sa session comme déjà authentifiée et ouvre un tunnel VPN vers le réseau interne. Exploitation active confirmée, ajout au KEV le 29 mai.
CVE-2026-26980Critique9.431 mai 2026 Ghost CMS : une SQLi aveugle non authentifiée livre la clé Admin
Une injection SQL aveugle dans la Content API publique de Ghost permet de lire n'importe quelle table, dont la clé Admin, en une seule requête non authentifiée. Plus de 700 domaines compromis. Découverte par Anthropic avec Claude.
CVE-2026-2743Critique9.831 mai 2026 SEPPMail : un path traversal pré-auth qui mène à la RCE
Une passerelle de messagerie sécurisée exposée : path traversal plus upload non restreint permettent à un attaquant non authentifié de déposer puis d'exécuter un fichier arbitraire. Pas d'exploitation confirmée, mais cible évidente.
CVE-2026-35616Critique9.131 mai 2026 FortiClient EMS : un bypass d'auth qui contamine tout le parc
Un bypass d'authentification pré-auth sur le plan de management EMS, exploité comme zero-day pour pousser l'infostealer EKZ vers tous les endpoints gérés. Une seule compromission EMS expose tout le parc.
CVE-2026-45321Critique9.6 KEV31 mai 2026 TanStack npm : 84 versions piégées via un trusted-publisher OIDC
84 versions malveillantes publiées sur 42 paquets @tanstack/* en six minutes, via le vol du jeton OIDC trusted-publisher de GitHub Actions. Le payload : un voleur d'identifiants. Premier maillon de la campagne Mini Shai-Hulud.
CVE-2026-48027Critique9.3 KEV31 mai 2026 Nx Console : l'extension VS Code piégée qui moissonne les secrets dev
Une version piégée de l'extension Nx Console (2,2 M d'installations) publiée 11 minutes sur le Marketplace, suffisante pour moissonner les secrets des postes dev via l'auto-update. Le maillon central de Mini Shai-Hulud.
CVE-2026-8398Critique KEV31 mai 2026 DAEMON Tools Lite : l'installeur signé qui exécute du code attaquant
Trois binaires signés et distribués depuis le site officiel ont été trojanisés après compromission de la chaîne de build de l'éditeur. La signature valide ne garantit plus l'intégrité. Troisième vecteur de Mini Shai-Hulud.
CVE-2026-9082Moyenne6.5 KEV31 mai 2026 Drupal Core : une SQLi exploitée moins de 48 h après le correctif
Une injection SQL dans la couche d'abstraction de base de données de Drupal Core, menant à l'élévation de privilèges et à la RCE. Exploitation observée moins de 48 h après la publication du correctif.
CVE-2024-6387Élevée8.101 juil. 2024 regreSSHion : la race condition qui a remis SSH sur la table
Une régression d'une CVE de 2006 (CVE-2006-5051) qui revient hanter OpenSSH sous glibc : exploitation par race condition sur le SIGALRM handler. Difficile à exploiter, mais déclenchable à distance, sans authentification, et conduisant à du code root.
CVE-2024-3094Critique10.0 KEVEPSS 95%29 mars 2024 XZ Utils Backdoor : la supply chain qui a fait trembler tout Linux
Une porte dérobée sophistiquée placée dans la bibliothèque xz-utils (liblzma), découverte par hasard par un ingénieur Microsoft à cause d'une latence anormale sur SSH. Patient zéro d'une nouvelle ère de la supply chain offensive.
CVE-2024-21413Critique9.813 févr. 2024 MonikerLink (Outlook) : un clic suffit, sans même ouvrir la pièce jointe
Une faille dans le parsing des liens Outlook qui contourne Protected View et permet à un attaquant de capter les hashes NTLM ou d'exécuter du code via un simple aperçu du message : pas d'ouverture de pièce jointe requise.