CVE-2026-41651 : Élévation de privilèges locale cross-distro via PackageKit (Pack2TheRoot)

🔍 Contexte Publié le 22 avril 2026 par l’équipe Red Team de Deutsche Telekom sur leur blog sécurité GitHub, cet article divulgue de manière coordonnée une vulnérabilité haute sévérité baptisée Pack2TheRoot, référencée CVE-2026-41651 (CVSS 3.1 : 8.8). 🎯 Nature de la vulnérabilité La vulnérabilité réside dans le démon PackageKit, une couche d’abstraction de gestion de paquets multi-distributions. Elle permet à un attaquant local non privilégié d’installer ou supprimer des paquets système sans autorisation, conduisant à une élévation de privilèges complète (root). ...

23 avril 2026 · 3 min

🪲 Semaine 16 — CVE les plus discutées

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-04-12 → 2026-04-19. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-34621 CVSS: 8.6 EPSS: 4.56% VLAI: High (confidence: 0.9976) CISA: KEV ProduitAdobe — Acrobat Reader Publié2026-04-11T06:45:43.512Z Acrobat Reader versions 24.001.30356, 26.001.21367 and earlier are affected by an Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious file. ...

20 avril 2026 · 21 min

Fuzzing de CFITSIO : 16 vulnérabilités mémoire découvertes avec l'aide de GPT-5-Codex

🔍 Contexte Publié le 20 avril 2026 sur le blog de Doyensec par Adrian Denkiewicz, cet article détaille une campagne de fuzzing menée contre CFITSIO, la bibliothèque C de référence pour le traitement du format astronomique FITS, maintenue par la NASA/HEASARC. La recherche a été conduite en deux rounds distincts, le second ciblant spécifiquement la surface d’attaque Extended Filename Syntax (EFS). 🛠️ Méthodologie Le chercheur a utilisé AFL++ comme fuzzer principal, combiné à GPT-5-Codex pour : ...

20 avril 2026 · 3 min

RCE critique dans protobuf.js : exécution de code via schémas malveillants (GHSA-xq3m-2v4x-88gg)

📰 Contexte Source : BleepingComputer, publié le 18 avril 2026. La société de sécurité applicative Endor Labs a publié un rapport détaillant une vulnérabilité critique d’exécution de code à distance (RCE) dans protobuf.js, l’implémentation JavaScript des Protocol Buffers de Google. La bibliothèque est téléchargée environ 50 millions de fois par semaine sur npm. 🔍 Détails techniques La vulnérabilité est identifiée sous GHSA-xq3m-2v4x-88gg (aucun CVE officiel attribué à ce jour). Elle est causée par une génération dynamique de code non sécurisée : ...

20 avril 2026 · 2 min

PHP Composer : deux failles critiques permettent l'exécution de commandes via le pilote Perforce VCS

🗓️ Contexte Publié le 17 avril 2026 sur IT-Connect par Florian Burnel, cet article traite de deux nouvelles vulnérabilités affectant PHP Composer, l’outil de gestion de dépendances très répandu dans l’écosystème PHP. 🔍 Vulnérabilités identifiées Deux failles de sécurité ont été divulguées, toutes deux localisées dans le pilote VCS (Version Control System) Perforce de Composer : CVE-2026-40176 (CVSS : 7.8/10) : vulnérabilité de mauvaise validation des entrées. Un attaquant contrôlant la configuration d’un dépôt via un fichier composer.json malveillant déclarant un dépôt Perforce VCS peut injecter des commandes arbitraires, exécutées avec les privilèges de l’utilisateur lançant Composer. CVE-2026-40261 (CVSS : 8.8/10) : vulnérabilité d’échappement inadéquat. Elle permet l’injection de commandes via une référence de source manipulée contenant des métacaractères shell. ⚠️ Ces failles sont exploitables même si Perforce VCS n’est pas installé sur la machine cible. ...

19 avril 2026 · 2 min

CVE-2026-33032 : Authentification manquante dans Nginx UI exploitée in the wild

🔍 Contexte Rapid7 a publié le 16 avril 2026 une alerte de sécurité concernant CVE-2026-33032, une vulnérabilité critique affectant Nginx UI, une interface web open-source de gestion centralisée des configurations Nginx et des certificats SSL. 🐛 Description de la vulnérabilité Type : Authentification manquante (Missing Authentication) Score CVSS : 9.8 (critique) Composant exposé : Serveur Model Context Protocol (MCP) intégré à Nginx UI Condition d’exploitation : La configuration par défaut de la liste blanche IP autorise tout accès distant au serveur MCP Impact : Un attaquant non authentifié peut exécuter des opérations privilégiées sur les serveurs Nginx gérés, aboutissant à un contrôle total du service Nginx 📅 Chronologie Début mars 2026 : Découverte par Yotam Perkal (chercheur chez Pluto Security) 15 mars 2026 : Patch publié + blog technique de Pluto Security 30 mars 2026 : Advisory de sécurité officiel publié 13 avril 2026 : Recorded Future signale une exploitation active in the wild 16 avril 2026 : Publication de l’alerte Rapid7 🎯 Versions affectées Selon le chercheur : versions 2.3.3 et antérieures (correctif en 2.3.4) Selon l’enregistrement CVE officiel : versions 2.3.5 et antérieures Version recommandée pour remédiation : 2.3.6 (dernière version disponible) 📌 Type d’article Alerte de sécurité publiée par Rapid7, visant à informer les utilisateurs de Nginx UI de l’existence d’une exploitation active et à orienter vers la mise à jour corrective. ...

16 avril 2026 · 2 min

CVE-2026-34197 : RCE critique dans Apache ActiveMQ Classic via l'API Jolokia

🔍 Contexte Publié le 7 avril 2026 par Horizon3.ai, cet article présente la divulgation complète de CVE-2026-34197, une vulnérabilité d’exécution de code à distance (RCE) dans Apache ActiveMQ Classic, présente depuis 13 ans et corrigée dans les versions 5.19.4 et 6.2.3. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un enchaînement de mécanismes légitimes d’ActiveMQ : Jolokia (pont HTTP-to-JMX) expose une API REST permettant d’invoquer des opérations sur les MBeans ActiveMQ L’opération addNetworkConnector(String) sur le broker MBean accepte un URI de découverte Le transport vm:// crée un broker à la volée si le nom référencé n’existe pas, en acceptant un paramètre brokerConfig pointant vers une URL distante Le schéma xbean: délègue le chargement à Spring’s ResourceXmlApplicationContext, instanciant tous les beans définis — permettant l’exécution de commandes via MethodInvokingFactoryBean et Runtime.getRuntime().exec() ⚠️ Conditions d’exploitation Authentifiée par défaut (credentials admin:admin très répandus) Non authentifiée sur les versions 6.0.0 à 6.1.1 en raison de CVE-2024-32114, qui supprime les contraintes de sécurité sur le chemin /api/*, rendant Jolokia totalement accessible sans credentials 🔗 Lien avec des vulnérabilités antérieures CVE-2022-41678 : RCE authentifiée via Jolokia et JDK MBeans (FlightRecorder) — le correctif avait introduit un allow global sur tous les MBeans ActiveMQ, créant la surface exploitée ici CVE-2023-46604 : RCE non authentifiée via chargement de Spring XML distant (même type de sink) CVE-2016-3088 : RCE authentifiée via la console web (sur la KEV CISA) 🎯 Secteurs impactés ActiveMQ est largement déployé dans les secteurs : services financiers, santé, gouvernement, e-commerce. ...

16 avril 2026 · 3 min

Mars 2026 : le ransomware rebondit, les risques GenAI s'intensifient selon Check Point

🌐 Contexte Source : Check Point Research, publié le 16 avril 2026. Ce rapport mensuel dresse un bilan statistique du paysage des cybermenaces en mars 2026, couvrant les volumes d’attaques globaux, les tendances ransomware, les risques liés à l’IA générative, ainsi que les disparités sectorielles et régionales. 📊 Volumes d’attaques globaux En mars 2026, la moyenne hebdomadaire d’attaques par organisation s’établit à 1 995, soit une baisse de 4 % par rapport à février et de 5 % par rapport à mars 2025. Malgré cette modération, les niveaux restent historiquement élevés, portés par l’automatisation, l’expansion des surfaces d’attaque et l’adoption du cloud et de la GenAI. ...

16 avril 2026 · 3 min

RedSun : PoC exploitant Windows Defender pour écraser des fichiers système et élever les privilèges

🔍 Contexte Publié le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dépôt RedSun expose une vulnérabilité affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un comportement inattendu de Windows Defender lors de la détection d’un fichier malveillant portant un cloud tag : Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier à son emplacement d’origine. Le PoC abuse de ce comportement pour écraser des fichiers système arbitraires. L’exploitation permet d’obtenir des privilèges administrateurs (élévation de privilèges). 💻 Détails techniques Langage : C++ (100%) Fichier principal : RedSun.cpp Le dépôt contient une release initiale publiée la veille de l’article. 664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire. 📌 Type d’article Il s’agit d’une publication de PoC (Proof of Concept) accompagnée d’une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale. ...

16 avril 2026 · 2 min

🪲 Semaine 15 — CVE les plus discutées

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-04-05 → 2026-04-12. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-35616 CVSS: 9.1 EPSS: 25.25% VLAI: Critical (confidence: 0.9592) CISA: KEV ProduitFortinet — FortiClientEMS Publié2026-04-04T00:38:35.828Z A improper access control vulnerability in Fortinet FortiClientEMS 7.4.5 through 7.4.6 may allow an unauthenticated attacker to execute unauthorized code or commands via crafted requests. ...

14 avril 2026 · 22 min
Dernière mise à jour le: 4 juillet 2026 📝