Aller au contenu
Kreomnis.Vigie
Blog · CVE décryptées

Veille CVE

Chaque vulnérabilité majeure y est analysée : contexte, mécanique, versions impactées, comment patcher, PoC publics, références. Sans remplir la base, juste l'essentiel pour un RSSI, un SOC ou un DevSecOps.

  • CVE-2026-39987Critique9.3 KEV16 juin 2026

    Marimo : la RCE pré-auth qui a vu un agent LLM piloter seul toute la post-exploitation

    RCE critique pré-authentifiée dans le notebook Python marimo via un endpoint WebSocket sans authentification. Surtout : le premier cas confirmé in-the-wild où un agent LLM a enchaîné seul quatre pivots, de la RCE à l'exfiltration d'une base PostgreSQL en 68 minutes.

    ● correctif● PoC publicmarimo · notebook-python · rce · pre-auth · agent-llm
  • CVE-2026-42271Élevée8.7 KEV15 juin 2026

    LiteLLM : une injection de commande dans les endpoints MCP qui expose toutes vos clés LLM

    Injection de commande dans les endpoints preview MCP de LiteLLM, qui acceptaient une config serveur stdio complète (command, args, env). Chaînée avec une bascule d'authentification Starlette, elle donne une RCE non authentifiée sur une passerelle qui centralise les clés API de tous vos fournisseurs LLM.

    ● correctif● PoC publiclitellm · mcp · command-injection · gateway-ia · rce
  • CVE-2026-50751Critique9.3 KEV15 juin 2026

    Check Point VPN : le bypass d'auth IKEv1, saison 2 du contournement en bordure

    Faille de flux logique dans la validation des certificats Remote Access / Mobile Access lors de l'échange IKEv1 : un attaquant distant non authentifié contourne l'authentification et ouvre un tunnel VPN sans mot de passe valide. Exploitée depuis le 7 mai, liée à un affilié du ransomware Qilin, au KEV.

    ● correctifcheck-point · vpn · ikev1 · auth-bypass · qilin
  • CVE-2026-34926Moyenne6.7 KEV14 juin 2026

    Trend Micro Apex One : un directory traversal qui transforme l'EDR en vecteur de diffusion

    Directory traversal sur le serveur Apex One On-Premise : en modifiant une table de clés, un attaquant injecte du code malveillant distribué aux agents via le canal de mise à jour de confiance. Exploitée en zero-day, ajoutée au KEV dès la divulgation. Le score modéré masque une exposition réelle.

    ● correctiftrend-micro · apex-one · directory-traversal · edr · kev
  • CVE-2026-35273Critique9.8 KEV14 juin 2026

    Oracle PeopleSoft : authentification manquante, prise de contrôle non authentifiée

    Authentification manquante sur une fonction critique de PeopleSoft Enterprise PeopleTools : un attaquant distant non authentifié prend le contrôle de l'instance, jusqu'à la RCE. Exploitée comme zero-day par ShinyHunters (UNC6240), ajoutée au KEV le 12 juin sous BOD 26-04.

    ● correctiforacle · peoplesoft · peopletools · auth-bypass · kev
  • CVE-2026-25592Critique9.913 juin 2026

    Semantic Kernel : quand un prompt injecté ouvre un shell (CVE-2026-25592 & -26030)

    Deux vulnérabilités CVSS 9.9 dans le framework d'agents Microsoft Semantic Kernel : une injection de prompt permet l'exécution de code, côté .NET via une fonction de téléchargement sur-exposée, côté Python via un eval() dans le filtrage du vector store. Microsoft fournit un CTF pour s'entraîner.

    ● correctif● PoC publicsemantic-kernel · microsoft · prompt-injection · rce · agent-ia
  • CVE-2026-42897Élevée8.1 KEV13 juin 2026

    Exchange / OWA : un XSS exploité, pas la RCE serveur qu'annonçaient les titres

    CWE-79 dans Outlook on the Web : un e-mail forgé ouvert dans OWA exécute du JavaScript arbitraire dans la session de l'utilisateur (vol de session, usurpation, accès boîte). CVSS 8.1, exploité depuis le 14 mai, au KEV le 15 mai. Ce n'est pas la RCE serveur que beaucoup de titres ont laissé entendre.

    ● correctifmicrosoft · exchange · owa · xss · spoofing
  • CVE-2026-30615Élevée8.012 juin 2026

    MCP « by design » : la RCE zéro-clic de Windsurf et la faille architecturale du protocole

    RCE zéro-clic dans Windsurf via injection de prompt qui enregistre un serveur MCP malveillant. Au-delà du cas Windsurf, la recherche OX Security pointe une faille architecturale du Model Context Protocol touchant Cursor, VS Code, Claude Code et Gemini-CLI, qu'Anthropic a refusé de corriger au niveau du protocole.

    ● correctifmcp · windsurf · rce · prompt-injection · shadow-mcp
  • CVE-2026-49160Élevée7.512 juin 2026

    HTTP/2 Bomb côté Windows : deux failles, deux périmètres à ne pas confondre

    Déclinaison Windows de l'HTTP/2 Bomb : un déni de service distant (CVSS 7.5) corrigé via un nouveau réglage registre MaxHeadersCount. À ne pas confondre avec la variante multi-serveurs CVE-2026-49975 (Nginx, Apache, Envoy) : même classe d'attaque, périmètres et correctifs distincts.

    ● correctif● PoC publicmicrosoft · http2 · dos · iis · patch-tuesday
  • CVE-2026-33626Élevée11 juin 2026

    LMDeploy : l'IA détournée en proxy d'attaque (SSRF sur le moteur d'inférence)

    SSRF dans le moteur d'inférence LMDeploy : l'endpoint vision-LLM charge une URL d'image sans valider les adresses internes. Exploité moins de 12 heures après divulgation pour scanner le réseau interne et accéder aux métadonnées cloud. Correctif en 0.12.3.

    ● correctif● PoC publiclmdeploy · ssrf · inference · vision-llm · cloud-metadata
  • CVE-2026-46333Élevée7.811 juin 2026

    Noyau Linux (ssh-keysign-pwn) : élévation locale vers root et fuite de secrets

    Race condition dans __ptrace_may_access() du noyau Linux : un utilisateur local non privilégié lit des fichiers sensibles (/etc/shadow, clés SSH) et exécute du code en root. Exploits publics en circulation, correctifs SUSE et upstream disponibles. Présent dans mainline depuis 2016.

    ● correctif● PoC publiclinux · kernel · ptrace · lpe · suse
  • CVE-2025-32711Critique9.310 juin 2026

    EchoLeak : le patient zéro du zéro-clic par injection de prompt (M365 Copilot)

    EchoLeak (CVE-2025-32711) est le premier cas documenté d'injection de prompt zéro-clic weaponisée pour exfiltrer des données dans un système IA en production : un simple e-mail ouvert dans M365 Copilot suffisait. L'article de référence pour comprendre la menace 2026.

    ● correctifecholeak · m365-copilot · prompt-injection · zero-click · exfiltration
  • CVE-2026-45247Critique9.8 KEV10 juin 2026

    Mirasvit Full Page Cache Warmer : un cookie désérialisé qui ouvre la RCE sur Magento

    Injection d'objet PHP dans l'extension Mirasvit Full Page Cache Warmer pour Magento 2 : une partie d'un cookie est passée à unserialize() sans restriction de classes, menant à la RCE non authentifiée. CVSS 9.8, corrigé en 1.11.12, ajouté au KEV le 3 juin. Niche mais activement exploité.

    ● correctifmagento · mirasvit · php-object-injection · deserialization · kev
  • CVE-2026-0257Élevée7.8 KEV31 mai 2026

    PAN-OS GlobalProtect : le bypass d'auth qui ouvre le VPN interne

    Un attaquant distant non authentifié force l'appliance à traiter sa session comme déjà authentifiée et ouvre un tunnel VPN vers le réseau interne. Exploitation active confirmée, ajout au KEV le 29 mai.

    ● correctifpalo-alto · pan-os · globalprotect · vpn · auth-bypass
  • CVE-2026-26980Critique9.431 mai 2026

    Ghost CMS : une SQLi aveugle non authentifiée livre la clé Admin

    Une injection SQL aveugle dans la Content API publique de Ghost permet de lire n'importe quelle table, dont la clé Admin, en une seule requête non authentifiée. Plus de 700 domaines compromis. Découverte par Anthropic avec Claude.

    ● correctifghost-cms · sqli · blind-sqli · pre-auth · cms
  • CVE-2026-2743Critique9.831 mai 2026

    SEPPMail : un path traversal pré-auth qui mène à la RCE

    Une passerelle de messagerie sécurisée exposée : path traversal plus upload non restreint permettent à un attaquant non authentifié de déposer puis d'exécuter un fichier arbitraire. Pas d'exploitation confirmée, mais cible évidente.

    ● correctifseppmail · path-traversal · file-upload · rce · pre-auth
  • CVE-2026-35616Critique9.131 mai 2026

    FortiClient EMS : un bypass d'auth qui contamine tout le parc

    Un bypass d'authentification pré-auth sur le plan de management EMS, exploité comme zero-day pour pousser l'infostealer EKZ vers tous les endpoints gérés. Une seule compromission EMS expose tout le parc.

    ● correctiffortinet · forticlient-ems · auth-bypass · rce · infostealer
  • CVE-2026-45321Critique9.6 KEV31 mai 2026

    TanStack npm : 84 versions piégées via un trusted-publisher OIDC

    84 versions malveillantes publiées sur 42 paquets @tanstack/* en six minutes, via le vol du jeton OIDC trusted-publisher de GitHub Actions. Le payload : un voleur d'identifiants. Premier maillon de la campagne Mini Shai-Hulud.

    supply-chain · npm · tanstack · malicious-package · oidc
  • CVE-2026-48027Critique9.3 KEV31 mai 2026

    Nx Console : l'extension VS Code piégée qui moissonne les secrets dev

    Une version piégée de l'extension Nx Console (2,2 M d'installations) publiée 11 minutes sur le Marketplace, suffisante pour moissonner les secrets des postes dev via l'auto-update. Le maillon central de Mini Shai-Hulud.

    ● correctifsupply-chain · vscode · nx-console · malicious-extension · infostealer
  • CVE-2026-8398Critique KEV31 mai 2026

    DAEMON Tools Lite : l'installeur signé qui exécute du code attaquant

    Trois binaires signés et distribués depuis le site officiel ont été trojanisés après compromission de la chaîne de build de l'éditeur. La signature valide ne garantit plus l'intégrité. Troisième vecteur de Mini Shai-Hulud.

    supply-chain · daemon-tools · trojanized-installer · code-signing · rce
  • CVE-2026-9082Moyenne6.5 KEV31 mai 2026

    Drupal Core : une SQLi exploitée moins de 48 h après le correctif

    Une injection SQL dans la couche d'abstraction de base de données de Drupal Core, menant à l'élévation de privilèges et à la RCE. Exploitation observée moins de 48 h après la publication du correctif.

    ● correctifdrupal · sqli · cms · rce · kev
  • CVE-2024-6387Élevée8.101 juil. 2024

    regreSSHion : la race condition qui a remis SSH sur la table

    Une régression d'une CVE de 2006 (CVE-2006-5051) qui revient hanter OpenSSH sous glibc : exploitation par race condition sur le SIGALRM handler. Difficile à exploiter, mais déclenchable à distance, sans authentification, et conduisant à du code root.

    ● correctif● PoC publicopenssh · race-condition · rce · linux · glibc
  • CVE-2024-3094Critique10.0 KEVEPSS 95%29 mars 2024

    XZ Utils Backdoor : la supply chain qui a fait trembler tout Linux

    Une porte dérobée sophistiquée placée dans la bibliothèque xz-utils (liblzma), découverte par hasard par un ingénieur Microsoft à cause d'une latence anormale sur SSH. Patient zéro d'une nouvelle ère de la supply chain offensive.

    ● correctif● PoC publicsupply-chain · linux · ssh · liblzma · backdoor
  • CVE-2024-21413Critique9.813 févr. 2024

    MonikerLink (Outlook) : un clic suffit, sans même ouvrir la pièce jointe

    Une faille dans le parsing des liens Outlook qui contourne Protected View et permet à un attaquant de capter les hashes NTLM ou d'exécuter du code via un simple aperçu du message : pas d'ouverture de pièce jointe requise.

    ● correctif● PoC publicmicrosoft · outlook · rce · moniker · pre-auth
Veille CVE · Kreomnis Vigie