CVE-2026-5140 : Chaîne d'escalade de privilèges critique dans Pardus Linux permettant un accès root

🔍 Contexte Publié le 21 mai 2026 par The Cyber Express, cet article documente une chaîne de vulnérabilités critiques identifiée sous CVE-2026-5140 affectant Pardus Linux, une distribution maintenue par TÜBİTAK et largement déployée dans les institutions gouvernementales, les écoles et les entreprises turques. La vulnérabilité a été découverte et documentée le 13 mars 2026 par le chercheur Çağrı Eser. ⚠️ Vulnérabilité La faille reçoit un score CVSS v3.1 de 9.3 (Critique) avec le vecteur suivant : CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H ...

21 mai 2026 · 3 min

Azure Backup for AKS : escalade de privilèges silencieusement corrigée sans CVE par Microsoft

🗓️ Contexte Article publié le 16 mai 2026 sur BleepingComputer. Il relate le cas du chercheur en sécurité Justin O’Leary, qui a découvert en mars 2026 une vulnérabilité critique dans Azure Backup for AKS (Azure Kubernetes Service) et dont le rapport a été rejeté par Microsoft, sans émission de CVE ni d’advisory public. 🔍 Détail de la vulnérabilité La faille, classifiée comme Confused Deputy (CWE-441), exploite l’interaction entre Azure RBAC et Kubernetes RBAC : ...

19 mai 2026 · 3 min

Cisco SD-WAN : vulnérabilité critique CVE-2026-20182 exploitée en zero-day, patch d'urgence requis

🗓️ Contexte Source : The Register — Publié le 15 mai 2026. Cisco a publié un avis de sécurité d’urgence concernant une vulnérabilité de sévérité maximale affectant ses produits Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage). 🔴 Vulnérabilité CVE-2026-20182 — Score CVSS : 10.0 (critique) Affecte tous les types de déploiement des deux composants Cause : mécanisme d’authentification par peering défaillant Permet à un attaquant non authentifié à distance de contourner l’authentification et d’obtenir des privilèges administrateur sur le système affecté Une fois authentifié, l’attaquant peut émettre des commandes NETCONF arbitraires, permettant : vol de données, interception de trafic, manipulation des règles de pare-feu, mise hors service du réseau 🕵️ Découverte et exploitation Vulnérabilité découverte par Stephen Fewer et Jonah Burgess de Rapid7, signalée début mars 2026 Cisco a confirmé en mai 2026 que CVE-2026-20182 avait été exploitée en zero-day Aucune attribution de l’activité d’exploitation n’a été communiquée Aucune exploitation dans le cadre d’attaques ransomware n’a été signalée La découverte fait suite à l’investigation d’un précédent zero-day : CVE-2026-20127 (CVSS 10.0, février 2026), également un contournement d’authentification dans Cisco Catalyst SD-WAN Controller 🏛️ Réponse institutionnelle La CISA a ajouté CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities (KEV) Les agences fédérales civiles (FCEB) ont 3 jours pour appliquer les correctifs — délai exceptionnellement court Cisco indique qu’aucun contournement (workaround) n’est disponible et recommande fortement l’application des correctifs 🔍 Indicateurs de compromission Cisco recommande d’auditer le fichier /var/log/auth.log pour détecter des entrées du type : ...

19 mai 2026 · 2 min

Zero-day Windows MiniPlasma : escalade de privilèges SYSTEM via cldflt.sys, PoC publié

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sécurité connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publié un exploit proof-of-concept (PoC) pour une vulnérabilité zero-day Windows baptisée MiniPlasma, permettant une escalade de privilèges jusqu’au niveau SYSTEM sur des systèmes Windows 11 entièrement à jour (incluant les mises à jour Patch Tuesday de mai 2026). 🔍 Détails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus précisément la routine HsmOsBlockPlaceholderAccess. Elle permet la création de clés de registre arbitraires dans la ruche .DEFAULT sans vérification d’accès appropriée, via une API non documentée CfAbortHydration. Cette vulnérabilité avait été initialement découverte et signalée à Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignée sous l’identifiant CVE-2020-17103 et supposément corrigée en décembre 2020. Le chercheur affirme que le correctif n’a jamais été réellement appliqué ou a été silencieusement révoqué. ...

19 mai 2026 · 3 min

🪲 Semaine 20 — CVE les plus discutées

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-10 → 2026-05-17. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-31431 CVSS: 7.8 EPSS: 2.57% VLAI: High (confidence: 0.9769) CISA: KEV ProduitLinux — Linux Publié2026-04-22T08:15:10.123Z In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly. ...

17 mai 2026 · 22 min

PoC public : vol de clés SSH et /etc/shadow via bypass ptrace mm-NULL + pidfd_getfd (pré-31e62c2ebbfd)

🔍 Contexte Publié le 15 mai 2026 sur GitHub par le compte 0xdeadbeefnetwork, le dépôt ssh-keysign-pwn met à disposition un proof-of-concept (PoC) fonctionnel exploitant une vulnérabilité du noyau Linux. Le bug a été rapporté par Qualys et corrigé par Linus Torvalds le 2026-05-14 (commit 31e62c2ebbfd). Jann Horn avait identifié la forme de vol de descripteur de fichier dès octobre 2020, soit six ans avant le correctif. 🐛 Vulnérabilité exploitée La faille réside dans __ptrace_may_access() : lorsque task->mm == NULL, la vérification dumpable est ignorée. Durant do_exit(), exit_mm() s’exécute avant exit_files(), créant une fenêtre temporelle où le processus n’a plus de mm mais conserve ses descripteurs de fichiers ouverts. pidfd_getfd(2) réussit dans cette fenêtre si l’UID de l’appelant correspond à celui de la cible. ...

15 mai 2026 · 2 min

Chercheur 'Nightmare-Eclipse' publie plusieurs 0-days Microsoft en représailles contre MSRC

🔍 Contexte Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. L’auteur, opérant sous le pseudonyme Nightmare-Eclipse, publie une série de divulgations publiques de vulnérabilités ciblant Microsoft Windows, en réponse à ce qu’il décrit comme un traitement abusif de sa part par le Microsoft Security Response Center (MSRC). 📋 Chronologie des divulgations 2 avril 2026 : Publication de BlueHammer (GitHub : Nightmare-Eclipse/BlueHammer) — première divulgation publique, sans explication technique. 12 avril 2026 : Publication de UnDefend (GitHub : Nightmare-Eclipse/UnDefend) — outil qualifié de « DOS tool » et de 0-day, permettant à tout utilisateur d’exécuter du code avec privilèges administrateur en contournant Windows Defender. L’auteur précise que combiné à BlueHammer, la machine est entièrement compromise. 15 avril 2026 : Publication de RedSun (GitHub : Nightmare-Eclipse/RedSun) en réponse au patch de CVE-2026-33825. L’auteur mentionne que MSRC avait été informé mais avait ignoré le signalement. 12 mai 2026 : Publication simultanée de YellowKey (GitHub : Nightmare-Eclipse/YellowKey) et GreenPlasma (GitHub : Nightmare-Eclipse/GreenPlasma). L’auteur annonce vouloir impliquer d’autres entreprises. 13 mai 2026 : L’auteur signale que Microsoft a silencieusement patché RedSun sans CVE ni advisory, malgré une exploitation active. Il confirme que YellowKey fonctionne même dans un environnement TPM+PIN et refuse de publier le PoC complet. ⚠️ Éléments notables L’auteur affirme disposer d’un dead man switch sophistiqué, hébergé hors de son domicile, contenant des divulgations massives supplémentaires. Il mentionne explicitement Tom Gallagher (MSRC leadership) dans ses remerciements sarcastiques. Les messages sont signés cryptographiquement via PGP (Ed25519), la clé publique est publiée sur le blog. L’auteur annonce des divulgations de RCE à venir et une « surprise » pour le prochain Patch Tuesday. YellowKey est décrit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC. 🎯 Nature de l’article Il s’agit d’une série de divulgations publiques offensives (full disclosure) motivées par un conflit personnel avec Microsoft/MSRC, accompagnées de menaces crédibles de divulgations futures. Le but principal est d’exercer une pression publique sur Microsoft en exposant des vulnérabilités non corrigées. ...

13 mai 2026 · 3 min

🪲 Semaine 19 — CVE les plus discutées

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-03 → 2026-05-10. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-31431 CVSS: 7.8 EPSS: 3.91% VLAI: High (confidence: 0.9682) CISA: KEV ProduitLinux — Linux Publié2026-04-22T08:15:10.123Z In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly. ...

11 mai 2026 · 21 min

CVE-2025-70994 : Vulnérabilité de replay attack sur le vélo électrique Yadea T5 via protocole EV1527

🔍 Contexte Publié le 8 mai 2026 sur GitHub par le chercheur Ashen Chathuranga (ktauchathuranga), ce dépôt présente l’advisory de sécurité et le proof-of-concept associés à CVE-2025-70994, une vulnérabilité affectant le système d’entrée sans clé du vélo électrique Yadea T5 (modèles fabriqués à partir de 2024). La divulgation coordonnée a eu lieu le 23 avril 2026 en partenariat avec la CISA (DHS) et le CERT/CC. 🛡️ Vulnérabilité La faille est classifiée CWE-1390 (Weak Authentication) et reçoit un score CVSS v3.1 de 7.3 (High) avec le vecteur AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H/E:P/RL:U/RC:C. ...

8 mai 2026 · 3 min

Ivanti alerte sur une faille zero-day RCE activement exploitée dans EPMM

📰 Contexte Source : BleepingComputer, publié le 7 mai 2026 par Sergiu Gatlan. Ivanti a émis une alerte de sécurité concernant une vulnérabilité zero-day activement exploitée dans son produit Endpoint Manager Mobile (EPMM). 🔍 Vulnérabilité principale CVE-2026-6973 est une faille de type Improper Input Validation permettant à un attaquant distant disposant de privilèges administratifs d’exécuter du code arbitraire sur les systèmes ciblés. Elle affecte EPMM version 12.8.0.0 et antérieures. Type : Remote Code Execution (RCE) Sévérité : Haute Prérequis : authentification admin Exploitation confirmée : oui, dans un nombre très limité de cas Périmètre : uniquement le produit on-premises EPMM (pas Ivanti Neurons for MDM, Ivanti EPM, Ivanti Sentry) 🛡️ Correctifs disponibles Ivanti recommande l’installation des versions suivantes : ...

8 mai 2026 · 3 min
Dernière mise à jour le: 4 juillet 2026 📝