Aller au contenu
Kreomnis.Vigie
Blog · CVE décryptées

Veille CVE

Chaque vulnérabilité majeure y est analysée : contexte, mécanique, versions impactées, comment patcher, PoC publics, références. Sans remplir la base, juste l'essentiel pour un RSSI, un SOC ou un DevSecOps.

  • CVE-2026-39987Critique9.3 KEV16 juin 2026

    Marimo : la RCE pré-auth qui a vu un agent LLM piloter seul toute la post-exploitation

    RCE critique pré-authentifiée dans le notebook Python marimo via un endpoint WebSocket sans authentification. Surtout : le premier cas confirmé in-the-wild où un agent LLM a enchaîné seul quatre pivots, de la RCE à l'exfiltration d'une base PostgreSQL en 68 minutes.

    ● correctif● PoC publicmarimo · notebook-python · rce · pre-auth · agent-llm
  • CVE-2026-42271Élevée8.7 KEV15 juin 2026

    LiteLLM : une injection de commande dans les endpoints MCP qui expose toutes vos clés LLM

    Injection de commande dans les endpoints preview MCP de LiteLLM, qui acceptaient une config serveur stdio complète (command, args, env). Chaînée avec une bascule d'authentification Starlette, elle donne une RCE non authentifiée sur une passerelle qui centralise les clés API de tous vos fournisseurs LLM.

    ● correctif● PoC publiclitellm · mcp · command-injection · gateway-ia · rce
  • CVE-2026-50751Critique9.3 KEV15 juin 2026

    Check Point VPN : le bypass d'auth IKEv1, saison 2 du contournement en bordure

    Faille de flux logique dans la validation des certificats Remote Access / Mobile Access lors de l'échange IKEv1 : un attaquant distant non authentifié contourne l'authentification et ouvre un tunnel VPN sans mot de passe valide. Exploitée depuis le 7 mai, liée à un affilié du ransomware Qilin, au KEV.

    ● correctifcheck-point · vpn · ikev1 · auth-bypass · qilin
  • CVE-2026-34926Moyenne6.7 KEV14 juin 2026

    Trend Micro Apex One : un directory traversal qui transforme l'EDR en vecteur de diffusion

    Directory traversal sur le serveur Apex One On-Premise : en modifiant une table de clés, un attaquant injecte du code malveillant distribué aux agents via le canal de mise à jour de confiance. Exploitée en zero-day, ajoutée au KEV dès la divulgation. Le score modéré masque une exposition réelle.

    ● correctiftrend-micro · apex-one · directory-traversal · edr · kev
  • CVE-2026-35273Critique9.8 KEV14 juin 2026

    Oracle PeopleSoft : authentification manquante, prise de contrôle non authentifiée

    Authentification manquante sur une fonction critique de PeopleSoft Enterprise PeopleTools : un attaquant distant non authentifié prend le contrôle de l'instance, jusqu'à la RCE. Exploitée comme zero-day par ShinyHunters (UNC6240), ajoutée au KEV le 12 juin sous BOD 26-04.

    ● correctiforacle · peoplesoft · peopletools · auth-bypass · kev
  • CVE-2026-42897Élevée8.1 KEV13 juin 2026

    Exchange / OWA : un XSS exploité, pas la RCE serveur qu'annonçaient les titres

    CWE-79 dans Outlook on the Web : un e-mail forgé ouvert dans OWA exécute du JavaScript arbitraire dans la session de l'utilisateur (vol de session, usurpation, accès boîte). CVSS 8.1, exploité depuis le 14 mai, au KEV le 15 mai. Ce n'est pas la RCE serveur que beaucoup de titres ont laissé entendre.

    ● correctifmicrosoft · exchange · owa · xss · spoofing
  • CVE-2026-45247Critique9.8 KEV10 juin 2026

    Mirasvit Full Page Cache Warmer : un cookie désérialisé qui ouvre la RCE sur Magento

    Injection d'objet PHP dans l'extension Mirasvit Full Page Cache Warmer pour Magento 2 : une partie d'un cookie est passée à unserialize() sans restriction de classes, menant à la RCE non authentifiée. CVSS 9.8, corrigé en 1.11.12, ajouté au KEV le 3 juin. Niche mais activement exploité.

    ● correctifmagento · mirasvit · php-object-injection · deserialization · kev
  • CVE-2026-0257Élevée7.8 KEV31 mai 2026

    PAN-OS GlobalProtect : le bypass d'auth qui ouvre le VPN interne

    Un attaquant distant non authentifié force l'appliance à traiter sa session comme déjà authentifiée et ouvre un tunnel VPN vers le réseau interne. Exploitation active confirmée, ajout au KEV le 29 mai.

    ● correctifpalo-alto · pan-os · globalprotect · vpn · auth-bypass
  • CVE-2026-45321Critique9.6 KEV31 mai 2026

    TanStack npm : 84 versions piégées via un trusted-publisher OIDC

    84 versions malveillantes publiées sur 42 paquets @tanstack/* en six minutes, via le vol du jeton OIDC trusted-publisher de GitHub Actions. Le payload : un voleur d'identifiants. Premier maillon de la campagne Mini Shai-Hulud.

    supply-chain · npm · tanstack · malicious-package · oidc
  • CVE-2026-48027Critique9.3 KEV31 mai 2026

    Nx Console : l'extension VS Code piégée qui moissonne les secrets dev

    Une version piégée de l'extension Nx Console (2,2 M d'installations) publiée 11 minutes sur le Marketplace, suffisante pour moissonner les secrets des postes dev via l'auto-update. Le maillon central de Mini Shai-Hulud.

    ● correctifsupply-chain · vscode · nx-console · malicious-extension · infostealer
  • CVE-2026-8398Critique KEV31 mai 2026

    DAEMON Tools Lite : l'installeur signé qui exécute du code attaquant

    Trois binaires signés et distribués depuis le site officiel ont été trojanisés après compromission de la chaîne de build de l'éditeur. La signature valide ne garantit plus l'intégrité. Troisième vecteur de Mini Shai-Hulud.

    supply-chain · daemon-tools · trojanized-installer · code-signing · rce
  • CVE-2026-9082Moyenne6.5 KEV31 mai 2026

    Drupal Core : une SQLi exploitée moins de 48 h après le correctif

    Une injection SQL dans la couche d'abstraction de base de données de Drupal Core, menant à l'élévation de privilèges et à la RCE. Exploitation observée moins de 48 h après la publication du correctif.

    ● correctifdrupal · sqli · cms · rce · kev
  • CVE-2024-3094Critique10.0 KEVEPSS 95%29 mars 2024

    XZ Utils Backdoor : la supply chain qui a fait trembler tout Linux

    Une porte dérobée sophistiquée placée dans la bibliothèque xz-utils (liblzma), découverte par hasard par un ingénieur Microsoft à cause d'une latence anormale sur SSH. Patient zéro d'une nouvelle ère de la supply chain offensive.

    ● correctif● PoC publicsupply-chain · linux · ssh · liblzma · backdoor
Veille CVE · Kreomnis Vigie