WordPress Mai 2026 : 4 plugins critiques en auth bypass / RCE (CVSS 9.8)
Burst Analytics, Career Section, InfusedWoo Pro, Form Notify — 4 plugins WordPress avec auth bypass / RCE / privilege escalation publiés en mai 2026. Versions et mitigation.
SAP S/4HANA CVE-2026-34260 : SQL injection authentifiée dans Enterprise Search ABAP
SAP S/4HANA Enterprise Search ABAP : SQL injection (CVSS 9.6) via user input concaténé sans validation. Compromission de données critiques, audit recommandé.
Microsoft Patch Tuesday Mai 2026 — Wave 2 : Hyper-V LPE, Entra ID spoofing, Authenticator
Suite du Patch Tuesday mai 2026 : 3 nouvelles CVE CRITICAL — Hyper-V use-after-free LPE (9.3), Entra ID spoofing (9.3), Microsoft Authenticator info disclosure (9.6). Patch immédiat.
ArchiveBox CVE-2026-42601 : RCE via /add/ — aucun patch disponible (CVSS 9.8)
ArchiveBox ≤ 0.8.6rc0 : l'endpoint /add/ injecte une config JSON non validée dans les variables d'environnement des plugins. RCE non auth, aucun correctif officiel. Mitigation.
Angular Expressions CVE-2026-44643 : sandbox escape → RCE (CVSS 10.0)
angular-expressions < 1.5.2 : un attaquant peut écrire une expression avec filtres qui échappe la sandbox et exécute du code arbitraire. CVSS 10.0, scope changed. Patch et mitigation.
Adobe Connect : 2 CVE critiques (deserialization + auth bypass) — CVE-2026-34659 & 34660
Adobe Connect ≤ 2025.9.15 : deserialization untrusted data (CVSS 9.6) + incorrect authorization (CVSS 9.3) → RCE et injection de scripts. Patch et hardening.
PHP 8.x : 3 CVE CRITICAL d'un coup (PDO Firebird SQLi + 2 SOAP UAF)
PHP 8.2.31 / 8.3.31 / 8.4.21 / 8.5.6 corrigent 3 CVE CRITICAL (CVSS 9.8) : SQL injection PDO Firebird via NUL byte + 2 use-after-free SOAP exploitables en RCE.
OpenClaw : 3 CVE critiques d'auth bypass dans la sandbox navigateur
OpenClaw < 2026.4.15 cumule 3 CVE CRITICAL (CVSS 9.6-9.8) : noVNC exposé, webhook Feishu sans validation, CDP relay sur 0.0.0.0. Patch et hardening pour la sandbox de testing.
Microsoft Patch Tuesday Mai 2026 : 4 CVE CRITICAL (Netlogon, DNS, Dynamics, Azure)
Patch Tuesday mai 2026 — 4 CVE CRITICAL : Windows Netlogon RCE (9.8), Windows DNS RCE (9.8), Dynamics 365 code injection (9.9), Azure Logic Apps EoP (9.9). Patcher en priorité.
Gotenberg CVE-2026-40281 : prise de contrôle d'API PDF via injection ExifTool (CVSS 10.0)
Gotenberg ≤ 8.30.1 : un newline dans la valeur d'une metadata PDF injecte des pseudo-tags ExifTool — overwrite/symlink arbitraire dans le conteneur. CVSS 10.0, patch 8.31.0.
GitHub Enterprise Server CVE-2026-8034 : SSRF via notebook viewer (URL parser confusion)
GitHub Enterprise Server < 3.21 contient une SSRF (CVSS 9.8) dans le notebook viewer — URL parser confusion entre validation et requête HTTP. Patch et mitigation.
Chrome CVE-2026-7910 : use-after-free dans Views (site isolation bypass)
Chrome < 148.0.7778.96 contient un use-after-free dans Views (CVSS 9.6) permettant le bypass de site isolation depuis un renderer compromis. Patch urgent navigateurs.
PhpSpreadsheet CVE-2026-34084 : RCE via phar:// dans IOFactory::load()
PhpSpreadsheet (toutes branches < 5.6.0) permet RCE et SSRF via phar://, ftp:// et ssh2.sftp:// dans IOFactory::load(). Patch et hardening pour PHP.
CVE-2026-0300 Palo Alto PAN-OS : RCE root non authentifiée déjà dans le KEV
Buffer overflow critique (CVSS 9.8) dans le User-ID Authentication Portal de Palo Alto PAN-OS — RCE root non authentifiée. Ajoutée au CISA KEV. Patch et workaround.
Nginx UI CVE-2026-42238 : RCE root non auth pendant 10 minutes après démarrage
Nginx UI < 2.3.8 expose un endpoint /api/restore unauthenticated les 10 premières minutes après démarrage. RCE root via injection dans app.ini. Patch et mitigation.
n8n CVE-2026-42233 : SQL injection Oracle dans le node Database via webhook
n8n (avant 1.123.32 / 2.17.4 / 2.18.1) contient une SQL injection critique (CVSS 9.8) sur l'opération select du node Oracle Database. Exfiltration via webhook.
LiteLLM CVE-2026-42208 : SQL Injection sur l'AI Gateway, déjà dans le KEV
L'AI Gateway LiteLLM (v1.81.16 → 1.83.7) contient une SQL injection critique (CVSS 9.8) sur les routes LLM. Vol de credentials, ajoutée au CISA KEV — patch urgent.
CoreDNS CVE-2026-35579 : bypass d'authentification TSIG sur gRPC, QUIC, DoH et DoH3
CoreDNS < 1.14.3 ne valide pas le HMAC TSIG sur les transports gRPC/QUIC/DoH. AXFR, DDNS et plugins TSIG-gated contournables sans clé. Patch et workaround.
WattBox 800/820 CVE-2026-41446 : backdoor diagnostique en plaintext sur l'étiquette
Snap One WattBox 800 et 820 (firmware < 2.10.0.0) embarquent des endpoints de diagnostic dont l'authentification repose sur MAC + service tag — imprimés sur l'étiquette. RCE root.
Traefik CVE-2026-35051 & CVE-2026-39858 : contournement d'authentification 10/10
Deux CVE critiques (CVSS 10.0) permettent de bypasser ForwardAuth sur Traefik. Versions affectées, exploitation, IOC et patchs 2.11.43 / 3.6.14 / 3.7.0-rc.2.
Totolink A8000RU : 22 CVE critiques d'injection de commandes en cascade
Le routeur Totolink A8000RU concentre 22 CVE CRITICAL (CVSS 9.8) d'injection de commandes via /cgi-bin/cstecgi.cgi. Tous les exploits sont publics — analyse, IOC, mitigation.
Tenda AC18 CVE-2026-31255 : RCE non authentifiée via SetSambaCfg
Le routeur Tenda AC18 v15.03.05.05 contient une injection de commande critique (CVSS 9.8) sur /goform/SetSambaCfg. Analyse, exploitation et mitigation.
ProjeQtor CVE-2026-41462 : SQL Injection non authentifiée sur la page de login
ProjeQtor 7.0 à 12.4.3 contient une SQL injection critique (CVSS 9.8) sur l'endpoint d'authentification. Création de comptes admin, lecture de données, RCE possible.
D-Link DI-8100 CVE-2026-7248 : Buffer Overflow critique sur tgfile.htm
Le routeur D-Link DI-8100 firmware 16.07.26A1 contient un buffer overflow non authentifié (CVSS 9.8) sur tgfile.htm. PoC public, analyse et mitigation.
Comment suivre les vulnérabilités CVE de son parc informatique
Guide complet pour surveiller et gérer les CVE affectant votre parc informatique : méthodes, outils et bonnes pratiques pour les équipes IT et RSSI.
Guide du patch management : comment traiter les CVE rapidement et efficacement
Découvrez comment mettre en place un processus de patch management CVE robuste : SLA par sévérité, étapes clés, outils et erreurs à éviter pour protéger votre SI.
Les meilleurs outils CVE en 2026 : comparatif complet
Comparatif des meilleurs outils de gestion et surveillance CVE en 2026 : solutions open source, plateformes SaaS, scanners. Quel outil choisir selon votre contexte ?
Comment réaliser un audit de sécurité CVE de son système d'information
Guide complet pour réaliser un audit de sécurité CVE : inventaire des actifs, scan de vulnérabilités, scoring CVSS, plan de remédiation et bonnes pratiques RSSI.
VMware vCenter & ESXi : 8 CVE critiques exploitées par les ransomwares
Liste à jour des CVE VMware critiques (CVE-2021-21985, CVE-2024-37085…) exploitées par ESXiArgs et autres ransomwares. Patchs et durcissement urgents en 2026.
Spring4Shell CVE-2022-22965 : RCE critique dans Spring Framework
Spring4Shell est une vulnérabilité d'exécution de code à distance dans Spring Framework. Analyse de CVE-2022-22965, conditions d'exploitation et protection des applications Java.
ProxyLogon CVE-2021-26855 : la faille critique Microsoft Exchange
ProxyLogon est l'une des vulnérabilités Exchange les plus exploitées de l'histoire. Analyse de CVE-2021-26855, de la chaîne d'exploitation complète et des mesures de remédiation.
PHP : CVE critiques et sécurisation de vos applications web
PHP, langage de 80% du web, concentre des vulnérabilités critiques dans le moteur et ses extensions. Analyse des CVE majeures et bonnes pratiques de sécurisation.
CVE-2024-3400 Palo Alto PAN-OS : RCE 10/10 activement exploitée
Analyse complète de CVE-2024-3400 (CVSS 10.0) et des autres failles critiques PAN-OS. Patchs, IOC et bonnes pratiques pour sécuriser vos firewalls Palo Alto NGFW en 2026.
Nginx : CVE critiques et sécurisation de votre serveur web
Nginx, deuxième serveur web mondial, n'est pas exempt de vulnérabilités critiques. Analyse des CVE majeures de Nginx et ngx_http_mp4_module, et guide de configuration sécurisée.
MOVEit CVE-2023-34362 : l'injection SQL qui a compromis des milliers d'entreprises
CVE-2023-34362 est une injection SQL critique dans MOVEit Transfer exploitée par le gang Cl0p. Analyse de l'attaque, des victimes et des mesures de sécurisation.
Jenkins : CVE critiques et sécurisation de votre pipeline CI/CD
Jenkins, l'outil CI/CD le plus utilisé, concentre des vulnérabilités critiques permettant l'exécution de code et l'accès aux secrets. Analyse des CVE majeures et bonnes pratiques.
Ivanti Connect Secure : les CVE critiques 2024 exploitées massivement
Ivanti Connect Secure a concentré les pires vulnérabilités de 2024. Analyse des CVE-2024-21887, CVE-2023-46805, CVE-2024-21893 et mesures de sécurisation.
Heartbleed CVE-2014-0160 : la faille OpenSSL qui a ébranlé internet
Heartbleed est la vulnérabilité OpenSSL la plus célèbre de l'histoire. Analyse de CVE-2014-0160, son impact sur la sécurité HTTPS mondiale et pourquoi elle est toujours d'actualité.
GitLab : CVE critiques et sécurisation de votre instance self-hosted
GitLab self-hosted concentre des vulnérabilités critiques incluant des RCE et des prises de contrôle de comptes. Analyse des CVE majeures et bonnes pratiques de sécurisation.
ProxyShell CVE-2021-34473 : la chaîne RCE Exchange de l'été 2021
ProxyShell est une chaîne de trois CVE dans Microsoft Exchange permettant une RCE non authentifiée. Analyse de CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 et protection.
EternalBlue et MS17-010 : la faille derrière WannaCry
MS17-010, la vulnérabilité SMB exploitée par EternalBlue, est à l'origine de WannaCry et NotPetya. Analyse technique, impact mondial et mesures de protection.
Docker et Kubernetes : CVE critiques et sécurité des conteneurs
Docker et Kubernetes concentrent des vulnérabilités permettant l'évasion de conteneurs et la compromission du cluster. Analyse des CVE majeures et hardening de votre infrastructure conteneurisée.
Comprendre le score CVSS : comment évaluer la gravité d'une CVE
Le score CVSS (Common Vulnerability Scoring System) est la référence mondiale pour mesurer la sévérité d'une vulnérabilité. Apprenez à le décrypter en 5 minutes.
Citrix Bleed CVE-2023-4966 : vol de session sur NetScaler ADC et Gateway
Citrix Bleed permet de voler des tokens de session valides sur Citrix NetScaler, contournant l'authentification et même le MFA. Analyse de CVE-2023-4966 et protection.
Atlassian Confluence : les CVE critiques et la sécurisation de votre wiki
Confluence concentre des vulnérabilités RCE critiques régulièrement exploitées. Analyse des CVE majeures d'Atlassian Confluence et mesures de protection pour votre instance.
Apache HTTP Server : CVE critiques et sécurisation de votre serveur web
Apache HTTP Server concentre des vulnérabilités critiques régulièrement exploitées. Analyse des CVE majeures incluant Log4Shell, CVE-2021-41773, CVE-2021-42013 et meilleures pratiques.
Top 10 CVE critiques de 2024 : les vulnérabilités qui ont marqué l'année
Retour sur les 10 CVE les plus critiques de 2024 : RCE, élévations de privilèges, zero-days. Ce que les équipes sécurité doivent retenir.
Log4Shell (CVE-2021-44228) : anatomie de la faille qui a ébranlé internet
CVE-2021-44228, score CVSS 10.0. Log4Shell reste l'une des vulnérabilités les plus exploitées de l'histoire. Analyse complète, impact et leçons à retenir.
CVE WordPress : comment surveiller et sécuriser votre site
WordPress concentre des milliers de CVE chaque année. Guide complet pour identifier les vulnérabilités qui vous concernent et mettre en place une veille efficace.
FortiOS et Fortinet : vulnérabilités majeures et bonnes pratiques de sécurité
Les appliances Fortinet sont omniprésentes dans les entreprises françaises. Tour d'horizon des CVE critiques FortiOS et des mesures pour sécuriser votre infrastructure.