Vulnérabilité

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-02-15 → 2026-02-22. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-2441 CVSS: N/A EPSS: 0.39% VLAI: High (confidence: 0.9908) CISA: KEV ProduitGoogle — Chrome Publié2026-02-13T18:27:48.355Z Use after free in CSS in Google Chrome prior to 145.0.7632.75 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. (Chromium security severity: High) ...

Selon un article publié le 19 février 2026, des vulnérabilités graves touchent plusieurs extensions populaires de Visual Studio Code (VSCode). Des vulnérabilités hautes à critiques affectant plusieurs extensions Visual Studio Code (et IDE compatibles comme Cursor et Windsurf) pourraient permettre à un attaquant de voler des fichiers locaux et/ou d’exécuter du code à distance. Les extensions concernées totalisent plus de 128 millions de téléchargements. Source : BleepingComputer — Flaws in popular VSCode extensions expose developers to attacks https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/ ...

Source: CrowdSec — Le billet signale une exploitation active de la vulnérabilité CVE-2025-56520 affectant Dify, avec détection par le réseau CrowdSec et un suivi de la menace depuis le 11 février 2026. • Vulnérabilité et portée: La faille est une SSRF au sein du composant RemoteFileUploadApi de Dify (jusqu’à la version 1.6.0), déclenchée via l’endpoint /console/api/remote-files/. Dify, plateforme open source d’orchestration d’agents IA/LLM (env. 130k étoiles GitHub), est largement déployée, ce qui expose de nombreux environnements. ...

Selon The Cyber Express, une vulnérabilité critique (CVE-2026-2441) affectant Google Chrome permet une exécution de code à distance (RCE) via un bug use-after-free lié au CSS. Google a publié une mise à jour d’urgence pour corriger ce problème. 🚨 Points clés Vulnérabilité: CVE-2026-2441 Type: use-after-free (CSS) Impact: exécution de code à distance (RCE) Produits concernés: Google Chrome Correctif: mise à jour d’urgence disponible Détails techniques succincts La faille est déclenchée via la manipulation du CSS, entraînant un use-after-free exploitable pour de la RCE. Correctif ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-02-08 → 2026-02-15. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-20841 CVSS: 7.8 EPSS: 0.11% VLAI: High (confidence: 0.9533) ProduitMicrosoft — Windows Notepad Publié2026-02-10T17:51:50.412Z Improper neutralization of special elements used in a command ('command injection') in Windows Notepad App allows an unauthorized attacker to execute code locally. ...

Selon un avis PSIRT de Fortinet publié le 6 février 2026, une vulnérabilité critique d’injection SQL affecte FortiClientEMS. Vulnérabilité: Injection SQL (CWE-89) dans l’interface d’administration (composant GUI), exploitable via des requêtes HTTP spécialement conçues. Impact: Exécution non autorisée de code ou de commandes (score CVSSv3 9.1 – Critique), sans authentification requise. CVE: CVE-2026-21643 | IR: FG-IR-25-1142. Produits/versions concernés: FortiClientEMS 7.4.4: affecté → corriger en 7.4.5 ou supérieur. FortiClientEMS 8.0: non affecté. FortiClientEMS 7.2: non affecté. Le 2026-02-06, FortiEMS Cloud a été retiré de la note car non affecté. Chronologie: ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-02-01 → 2026-02-08. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-21509 CVSS: 7.8 EPSS: 2.91% VLAI: High (confidence: 0.9491) CISA: KEV ProduitMicrosoft — Microsoft Office 2019 Publié2026-01-26T17:06:35.512Z Reliance on untrusted inputs in a security decision in Microsoft Office allows an unauthorized attacker to bypass a security feature locally. ...

Source : BleepingComputer Date : Février 2026 Produit concerné : n8n (plateforme open source d’automatisation de workflows) Identifiant : CVE-2026-25049 Selon BleepingComputer, plusieurs vulnérabilités critiques affectent n8n, une plateforme open-source d’automatisation de workflows, permettant à un attaquant d’échapper au confinement de l’environnement et de prendre le contrôle total du serveur hôte. Plusieurs vulnérabilités critiques ont été découvertes dans n8n, une plateforme d’automatisation de workflows très utilisée. Collectivement suivies sous CVE-2026-25049, ces failles permettent à tout utilisateur authentifié capable de créer ou modifier un workflow d’échapper au sandbox et d’exécuter du code arbitraire sur le serveur hébergeant n8n. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-01-25 → 2026-02-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-21509 CVSS: 7.8 EPSS: 2.83% VLAI: High (confidence: 0.9823) CISA: KEV ProduitMicrosoft — Microsoft Office 2019 Publié2026-01-26T17:06:35.512Z Reliance on untrusted inputs in a security decision in Microsoft Office allows an unauthorized attacker to bypass a security feature locally. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-01-01 → 2026-02-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-21858 CVSS: 10.0 EPSS: 4.30% VLAI: Critical (confidence: 0.8622) Produitn8n-io — n8n Publié2026-01-07T23:57:52.079Z n8n is an open source workflow automation platform. Versions starting with 1.65.0 and below 1.121.0 enable an attacker to access files on the underlying server through execution of certain form-based workflows. A vulnerable workflow could grant access to an unauthenticated remote attacker, resulting in exposure of sensitive information stored on the system and may enable further compromise depending on deployment configuration and workflow usage. This issue is fixed in version 1.121.0. ...