Veille CVE
Chaque vulnérabilité majeure y est analysée : contexte, mécanique, versions impactées, comment patcher, PoC publics, références. Sans remplir la base, juste l'essentiel pour un RSSI, un SOC ou un DevSecOps.
CVE-2026-39987Critique9.3 KEV16 juin 2026 Marimo : la RCE pré-auth qui a vu un agent LLM piloter seul toute la post-exploitation
RCE critique pré-authentifiée dans le notebook Python marimo via un endpoint WebSocket sans authentification. Surtout : le premier cas confirmé in-the-wild où un agent LLM a enchaîné seul quatre pivots, de la RCE à l'exfiltration d'une base PostgreSQL en 68 minutes.
CVE-2026-42271Élevée8.7 KEV15 juin 2026 LiteLLM : une injection de commande dans les endpoints MCP qui expose toutes vos clés LLM
Injection de commande dans les endpoints preview MCP de LiteLLM, qui acceptaient une config serveur stdio complète (command, args, env). Chaînée avec une bascule d'authentification Starlette, elle donne une RCE non authentifiée sur une passerelle qui centralise les clés API de tous vos fournisseurs LLM.
CVE-2026-50751Critique9.3 KEV15 juin 2026 Check Point VPN : le bypass d'auth IKEv1, saison 2 du contournement en bordure
Faille de flux logique dans la validation des certificats Remote Access / Mobile Access lors de l'échange IKEv1 : un attaquant distant non authentifié contourne l'authentification et ouvre un tunnel VPN sans mot de passe valide. Exploitée depuis le 7 mai, liée à un affilié du ransomware Qilin, au KEV.
CVE-2026-34926Moyenne6.7 KEV14 juin 2026 Trend Micro Apex One : un directory traversal qui transforme l'EDR en vecteur de diffusion
Directory traversal sur le serveur Apex One On-Premise : en modifiant une table de clés, un attaquant injecte du code malveillant distribué aux agents via le canal de mise à jour de confiance. Exploitée en zero-day, ajoutée au KEV dès la divulgation. Le score modéré masque une exposition réelle.
CVE-2026-35273Critique9.8 KEV14 juin 2026 Oracle PeopleSoft : authentification manquante, prise de contrôle non authentifiée
Authentification manquante sur une fonction critique de PeopleSoft Enterprise PeopleTools : un attaquant distant non authentifié prend le contrôle de l'instance, jusqu'à la RCE. Exploitée comme zero-day par ShinyHunters (UNC6240), ajoutée au KEV le 12 juin sous BOD 26-04.
CVE-2026-42897Élevée8.1 KEV13 juin 2026 Exchange / OWA : un XSS exploité, pas la RCE serveur qu'annonçaient les titres
CWE-79 dans Outlook on the Web : un e-mail forgé ouvert dans OWA exécute du JavaScript arbitraire dans la session de l'utilisateur (vol de session, usurpation, accès boîte). CVSS 8.1, exploité depuis le 14 mai, au KEV le 15 mai. Ce n'est pas la RCE serveur que beaucoup de titres ont laissé entendre.
CVE-2026-45247Critique9.8 KEV10 juin 2026 Mirasvit Full Page Cache Warmer : un cookie désérialisé qui ouvre la RCE sur Magento
Injection d'objet PHP dans l'extension Mirasvit Full Page Cache Warmer pour Magento 2 : une partie d'un cookie est passée à unserialize() sans restriction de classes, menant à la RCE non authentifiée. CVSS 9.8, corrigé en 1.11.12, ajouté au KEV le 3 juin. Niche mais activement exploité.
CVE-2026-0257Élevée7.8 KEV31 mai 2026 PAN-OS GlobalProtect : le bypass d'auth qui ouvre le VPN interne
Un attaquant distant non authentifié force l'appliance à traiter sa session comme déjà authentifiée et ouvre un tunnel VPN vers le réseau interne. Exploitation active confirmée, ajout au KEV le 29 mai.
CVE-2026-45321Critique9.6 KEV31 mai 2026 TanStack npm : 84 versions piégées via un trusted-publisher OIDC
84 versions malveillantes publiées sur 42 paquets @tanstack/* en six minutes, via le vol du jeton OIDC trusted-publisher de GitHub Actions. Le payload : un voleur d'identifiants. Premier maillon de la campagne Mini Shai-Hulud.
CVE-2026-48027Critique9.3 KEV31 mai 2026 Nx Console : l'extension VS Code piégée qui moissonne les secrets dev
Une version piégée de l'extension Nx Console (2,2 M d'installations) publiée 11 minutes sur le Marketplace, suffisante pour moissonner les secrets des postes dev via l'auto-update. Le maillon central de Mini Shai-Hulud.
CVE-2026-8398Critique KEV31 mai 2026 DAEMON Tools Lite : l'installeur signé qui exécute du code attaquant
Trois binaires signés et distribués depuis le site officiel ont été trojanisés après compromission de la chaîne de build de l'éditeur. La signature valide ne garantit plus l'intégrité. Troisième vecteur de Mini Shai-Hulud.
CVE-2026-9082Moyenne6.5 KEV31 mai 2026 Drupal Core : une SQLi exploitée moins de 48 h après le correctif
Une injection SQL dans la couche d'abstraction de base de données de Drupal Core, menant à l'élévation de privilèges et à la RCE. Exploitation observée moins de 48 h après la publication du correctif.
CVE-2024-3094Critique10.0 KEVEPSS 95%29 mars 2024 XZ Utils Backdoor : la supply chain qui a fait trembler tout Linux
Une porte dérobée sophistiquée placée dans la bibliothèque xz-utils (liblzma), découverte par hasard par un ingénieur Microsoft à cause d'une latence anormale sur SSH. Patient zéro d'une nouvelle ère de la supply chain offensive.