Dell DSA-2026-197 : Vulnérabilité d'encodage faible des mots de passe dans le BIOS de plateformes client

📋 Contexte Le 9 juin 2026 (mise à jour le 16 juin 2026), Dell Technologies a publié l’avis de sécurité DSA-2026-197 concernant une vulnérabilité affectant le BIOS de multiples plateformes client Dell. La source est le portail officiel de support Dell (knowledge base article 000453482). 🔍 Vulnérabilité identifiée CVE : CVE-2026-40639 Type : Weak Encoding for Password (encodage faible des mots de passe) Score CVSS 3.1 : 5.7 (Medium) Vecteur CVSS : CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N Impact : Un attaquant non authentifié disposant d’un accès physique à la machine peut potentiellement exploiter cette vulnérabilité pour réaliser une élévation de privilèges. 🖥️ Produits affectés (sélection) Dell Edge Gateway 3000 / 5000 Dell Embedded PC 3000 / 5000 Dell Precision 3630 Tower, 3930 Rack, 5540 Latitude 3190, 3190 2-in-1, 3310, 3310 2-in-1 Latitude 7220 Rugged Extreme, Latitude Rugged 5420, 5424, 7220EX, 7424 OptiPlex 7070 UFF 🛠️ Versions corrigées Chaque produit dispose d’une version BIOS corrigée disponible sur le site Drivers & Downloads de Dell, publiées entre le 04/06/2026 et le 16/06/2026. ...

21 juin 2026 · 2 min

Vulnérabilité critique activement exploitée dans JCE (Joomla Content Editor) – Patch disponible

🗓️ Contexte Le 12 juin 2026, Widget Factory Limited publie sur le site officiel de JCE (Joomla Content Editor) un avis de sécurité détaillant une vulnérabilité critique affectant toutes les versions de JCE antérieures à 2.9.99.5. La correction initiale a été publiée le 3 juin 2026 (version 2.9.99.5), suivie d’un durcissement supplémentaire le 8 juin 2026 (version 2.9.99.6). 🔍 Nature de la vulnérabilité La vulnérabilité repose sur un import de profil d’éditeur non authentifié via le chemin index.php?option=com_jce&task=profiles.import. Elle permet à un attaquant de : ...

21 juin 2026 · 2 min

Cisco corrige une vulnérabilité critique d'exécution de commandes dans ISE (CVE-2026-20181)

📰 Source : SecurityWeek, publié le 18 juin 2026 par Ionut Arghire. Cisco a publié des correctifs pour plusieurs vulnérabilités affectant ses produits, dont une faille critique dans Identity Services Engine (ISE) et ISE Passive Identity Connector (ISE-PIC). 🔴 Vulnérabilité critique — CVE-2026-20181 (CVSS 9.1) La faille résulte d’une validation insuffisante des entrées utilisateur. Un attaquant distant authentifié disposant de credentials administratifs valides peut envoyer une requête HTTP forgée pour : ...

19 juin 2026 · 2 min

Patch Tuesday juin 2026 : Microsoft corrige 6 zero-days et 200 vulnérabilités

📅 Source : BleepingComputer — Date : 9 juin 2026 Microsoft a publié son Patch Tuesday de juin 2026, corrigeant 200 vulnérabilités dont 6 zero-days sur l’ensemble de son écosystème logiciel. Ce bulletin massif couvre des dizaines de composants Windows, des produits cloud Azure, des applications Office, Exchange Server, Visual Studio Code et bien d’autres. 🔴 Vulnérabilités critiques notables CVE-2026-45648 — Windows Active Directory Domain Services Remote Code Execution (Critical) CVE-2026-45476 — Microsoft Azure Network Adapter (Linux MANA Driver) Elevation of Privilege (Critical) CVE-2026-33828 — Windows Device Health Attestation Elevation of Privilege (Critical) CVE-2026-32193 — Azure Kubernetes Service Remote Code Execution (Critical) CVE-2026-45463 / CVE-2026-45474 / CVE-2026-45472 / CVE-2026-45458 / CVE-2026-47635 / CVE-2026-45456 / CVE-2026-45461 — Microsoft Office Remote Code Execution multiples (Critical) CVE-2026-42985 / CVE-2026-47289 / CVE-2026-47654 / CVE-2026-42992 / CVE-2026-44801 / CVE-2026-44799 / CVE-2026-48563 — Remote Desktop Client Remote Code Execution multiples (Critical) CVE-2026-47288 — Windows Kerberos KDC Remote Code Execution (Critical) CVE-2026-47291 — HTTP.sys Remote Code Execution (Critical) CVE-2026-45641 / CVE-2026-47652 / CVE-2026-45607 — Windows Hyper-V Remote Code Execution (Critical) CVE-2026-44812 / CVE-2026-44803 — Windows Graphics Component Remote Code Execution (Critical) CVE-2026-44815 — DHCP Client Service Remote Code Execution (Critical) CVE-2026-42987 — Windows Deployment Services Remote Code Execution (Critical) CVE-2026-44810 — Microsoft Cryptographic Services Elevation of Privilege (Critical) CVE-2026-45657 — Windows Kernel Remote Code Execution (Critical) CVE-2026-48574 — Windows Media Remote Code Execution (Critical) CVE-2025-10263 — ARM kernel vulnerability (Critical) CVE-2026-26142 — Nuance PowerScribe Remote Code Execution (Critical) 🟠 Composants les plus impactés Microsoft Office : ~15 CVE dont plusieurs RCE critiques (Outlook, Word, Excel, SharePoint) Remote Desktop Client : 11 CVE dont 7 critiques RCE Windows DWM Core Library : 11 CVE (EoP, Info Disclosure) Microsoft SharePoint : ~20 CVE (Spoofing, RCE) Windows Ancillary Function Driver for WinSock : 7 CVE EoP Windows Secure Boot : 8 CVE Security Feature Bypass Windows Push Notifications : 8 CVE (EoP, Info Disclosure) Azure Stack Edge : 2 CVE (RCE, Spoofing) Visual Studio Code : 6 CVE (EoP, Info Disclosure, Tampering, SFB) Exchange Server : 7 CVE (Spoofing, Info Disclosure, EoP, RCE) 📋 Types de vulnérabilités Remote Code Execution (RCE) : majoritaire, nombreuses failles critiques Elevation of Privilege (EoP) : très répandu sur les composants Windows Security Feature Bypass : BitLocker, Secure Boot, UEFI, MOTW Spoofing : Exchange, SharePoint, Bing, NTLM Information Disclosure : Office, RDP, Push Notifications Denial of Service : HTTP.sys, ASP.NET Core, Kerberos 📌 Type d’article : Patch de sécurité — bulletin mensuel Microsoft. But principal : documenter l’ensemble des correctifs publiés lors du Patch Tuesday de juin 2026 pour permettre aux équipes de sécurité de prioriser les mises à jour. ...

13 juin 2026 · 10 min

Roundup mai 2026 : 100+ vulnérabilités critiques dans l'écosystème WordPress

📰 Contexte Source : blog.sucuri.net — Publication du 1er juin 2026. Il s’agit du récapitulatif mensuel de Sucuri listant les vulnérabilités de sécurité découvertes et patchées dans l’écosystème WordPress (plugins et thèmes) au cours du mois de mai 2026. 🔴 Vulnérabilités critiques Trois vulnérabilités sont classées Critical : Advanced Custom Fields: Extended (≤ 0.9.2.5) — Privilege Escalation sans authentification — CVE-2026-8809 — patché en 0.9.2.6 Avada (Fusion) Builder (≤ 3.15.2) — Remote Code Execution sans authentification — CVE-2026-6279 — patché en 3.15.3 Gravity Forms (≤ 2.10.0.1) — Arbitrary File Deletion sans authentification — CVE-2026-48866 — patché en 2.10.1 🟠 Vulnérabilités High sans authentification (sélection) LiteSpeed Cache (≤ 7.7) — XSS — CVE-2026-3375 — 7M+ installations WooCommerce PayPal Payments (≤ 4.0.1) — Broken Access Control — CVE-2026-9284 Forminator Forms (≤ 1.52.1) — Arbitrary File Read — CVE-2026-5192 ManageWP Worker (≤ 4.9.31) — XSS — CVE-2026-3718 Database Backup for WordPress (≤ 2.5.2) — Arbitrary File Read + Broken Access Control (x2) — CVE-2026-4030, CVE-2026-4029, CVE-2026-4031 Kirki (≤ 6.0.6) — Arbitrary File Read — CVE-2026-8073 Post SMTP (≤ 3.6.2) — XSS — CVE-2026-48838 Appointment Booking Calendar (≤ 1.6.11.8) — SQL Injection — CVE-2026-7797 Email Marketing for WooCommerce by Omnisend (≤ 1.18.0) — Broken Authentication — CVE-2026-42668 PixelYourSite Pro (≤ 12.5.0.1) — SSRF — CVE-2026-7049 Avada (Fusion) Builder (≤ 3.15.1) — SQL Injection — CVE-2026-4798 Slider Revolution — Arbitrary File Upload — CVE-2026-6692 Betheme (≤ 28.4) — Remote Code Execution — CVE-2026-6261 Roneous (≤ 2.1.5) — Local File Inclusion sans authentification — CVE-2025-69177 — pas de patch disponible 🟡 Plugins sans patch disponible au moment de la publication Meta for WooCommerce (≤ 3.7.0) — Open Redirect — CVE-2026-49059 Adminimize (≤ 1.11.11) — Broken Access Control — CVE-2026-49045 Duplicate Page and Post (≤ 2.9.5) — SQL Injection — CVE-2026-49046 The Post Grid (≤ 7.9.2) — Broken Access Control — CVE-2026-49054 Roneous (≤ 2.1.5) — Local File Inclusion — CVE-2025-69177 📊 Périmètre global L’article couvre plus de 100 entrées CVE réparties sur des dizaines de plugins et thèmes WordPress, avec des bases d’installation allant de 90 000 à plus de 10 millions (Yoast SEO). Les types de vulnérabilités incluent : XSS, Broken Access Control, SQL Injection, RCE, Privilege Escalation, Arbitrary File Read/Upload/Deletion, IDOR, SSRF, Path Traversal, Local File Inclusion, Information Disclosure, Open Redirect, Broken Authentication, Denial of Service, Content Injection. ...

6 juin 2026 · 7 min

Notepad++ 8.9.6.1 corrige trois vulnérabilités dont une RCE critique via config.xml

📰 Source : The Cyber Express | Date de publication : 29 mai 2026 | Date de divulgation des CVE : 26 mai 2026 Les développeurs de Notepad++ ont publié la version 8.9.6.1 pour corriger trois vulnérabilités de sécurité affectant toutes les versions jusqu’à 8.9.6. Les failles ont été divulguées le 26 mai 2026. 🔴 CVE-2026-48778 — RCE critique (CWE-78 : OS Command Injection) La vulnérabilité la plus sévère réside dans le traitement du fichier config.xml, spécifiquement le paramètre <GUIConfig name="commandLineInterpreter">. Ce paramètre est lu sans validation, sans vérification d’intégrité et sans restriction par liste blanche. Lorsqu’un utilisateur active la fonctionnalité “Open Containing Folder in cmd”, l’application utilise ce paramètre non sanitisé, permettant à un attaquant de substituer l’exécutable attendu par un programme arbitraire. Un proof-of-concept a démontré l’exécution de calc.exe à la place de l’invite de commandes. La faille présente une faible complexité d’attaque et ne nécessite pas de privilèges élevés. ...

1 juin 2026 · 3 min

Patch Tuesday mai 2026 : 118 CVE Microsoft dont 3 critiques, volumes records chez Apple, Google, Mozilla et Oracle

📅 Contexte Article publié le 12 mai 2026 sur Krebs on Security, couvrant le Patch Tuesday de mai 2026. Il s’agit d’un tour d’horizon mensuel des correctifs de sécurité publiés par les principaux éditeurs logiciels. 🪟 Microsoft – 118 vulnérabilités corrigées Microsoft publie des correctifs pour 118 vulnérabilités dans ses systèmes Windows et autres produits. C’est le premier Patch Tuesday depuis près de deux ans sans zero-day activement exploité ni vulnérabilité préalablement divulguée publiquement. ...

13 mai 2026 · 3 min

GLPI 11.0.7 & 10.0.25 : 13 vulnérabilités corrigées dont 4 critiques (XSS, suppression arbitraire)

📅 Source : IT-Connect, publié le 30 avril 2026 par Florian Burnel. Contexte L’équipe de GLPI a publié le 29 avril 2026 deux mises à jour de sécurité simultanées : GLPI 11.0.7 (7ème mise à jour mineure de la branche 11) et GLPI 10.0.25 (branche legacy toujours maintenue). Ces versions corrigent un ensemble de vulnérabilités affectant les deux branches du logiciel de gestion de parc informatique. Vulnérabilités corrigées dans GLPI 11.0.7 13 vulnérabilités ont été patchées, dont 4 considérées comme importantes : ...

6 mai 2026 · 2 min

CVE-2026-31431 (Copy.Fail) : workaround eBPF pour une LPE via AF_ALG socket Linux

🔍 Contexte Publié le 3 mai 2026 sur GitHub (dépôt wgnet/wg.copyfail.patch), cet article présente un workaround eBPF pour la vulnérabilité CVE-2026-31431, surnommée Copy.Fail, affectant le noyau Linux. 🐛 Description de la vulnérabilité La CVE-2026-31431 permet à un utilisateur autorisé de modifier le cache d’une copie de tout fichier lisible, ce qui entraîne : Local Privilege Escalation (LPE) — élévation de privilèges locale jusqu’à root Échappement de sandbox/conteneur D’autres impacts liés à l’intégrité du système de fichiers L’exploitation repose sur la création d’une socket AF_ALG, fournie par les modules noyau algif*. ...

3 mai 2026 · 2 min

Apple corrige un bug iOS permettant l'extraction de messages Signal supprimés via les notifications

📰 Source : TechCrunch, publié le 22 avril 2026. Cet article couvre la publication d’un correctif de sécurité par Apple pour un bug affectant iOS et iPadOS. 🔍 Contexte : Plus tôt dans le mois, le média indépendant 404 Media avait révélé que le FBI avait réussi à extraire des messages Signal supprimés depuis un iPhone à l’aide d’outils forensiques. La cause identifiée : le contenu des messages affichés en notification était stocké dans une base de données du système, et ce même après suppression des messages dans l’application Signal. ...

24 avril 2026 · 2 min
Dernière mise à jour le: 4 juillet 2026 📝