Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée.
PĂ©riode analysĂ©e : 2026-01-25 â 2026-02-01.
Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin dâaider Ă la priorisation de la veille et de la remĂ©diation.
đ LĂ©gende :
- CVSS : score officiel de sévérité technique.
- EPSS : probabilitĂ© dâexploitation observĂ©e.
- VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité.
- CISA KEV : vulnérabilité activement exploitée selon la CISA.
- seen / exploited : signaux observés dans les sources publiques.
CVE-2026-21509
Reliance on untrusted inputs in a security decision in Microsoft Office allows an unauthorized attacker to bypass a security feature locally.
Défaillance dans Microsoft Office : la dépendance à des entrées non fiables dans une décision de sécurité permet à un attaquant non autorisé de contourner une fonctionnalité de sécurité localement.
DĂ©tails :
- Contexte : Microsoft Office est un ensemble de logiciels largement utilisé pour la création de documents, tableurs, présentations, etc.
- ProblĂšme : L'application se fie Ă des donnĂ©es d'entrĂ©e qui peuvent ĂȘtre falsifiĂ©es ou non sĂ©curisĂ©es, ce qui peut compromettre sa sĂ©curitĂ©.
- Conséquence : Un attaquant peut exploiter cette faiblesse pour contourner une mesure de sécurité, ce qui pourrait permettre, par exemple, l'exécution de code non autorisé ou l'accÚs à des informations sensibles.
Terminologie :
- RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur un systÚme ciblé.
- SSRF (Server-Side Request Forgery) : Falsification de requĂȘte cĂŽtĂ© serveur, oĂč l'attaquant pousse le serveur Ă faire des requĂȘtes non sĂ©curisĂ©es au nom de l'application.
- XSS (Cross-Site Scripting) : Injection de scripts malveillants dans des sites web pour intercepter des données ou prendre le contrÎle de sessions utilisateur.
Conclusion :
Il est crucial de sécuriser les entrées dans Microsoft Office pour prévenir des attaques potentielles.
Posts / Sources (98)
CVE-2025-8088
A path traversal vulnerability affecting the Windows version of WinRAR allows the attackers to execute arbitrary code by crafting malicious archive files. This vulnerability was exploited in the wild and was discovered by Anton Cherepanov, Peter KoĆĄinĂĄr, and Peter StrĂœÄek from ESET.
Vulnérabilité de Traversée de Chemin dans WinRAR
Une vulnérabilité de traversée de chemin (path traversal) affecte la version Windows de WinRAR. Cette faille permet aux attaquants d'exécuter un code arbitraire en créant des fichiers d'archive malveillants.
DĂ©tails : - Auteurs de la dĂ©couverte : Anton Cherepanov, Peter KoĆĄinĂĄr et Peter StrĂœÄek de ESET. - Exploitation : Cette vulnĂ©rabilitĂ© a Ă©tĂ© exploitĂ©e dans la nature, ce qui signifie qu'elle a Ă©tĂ© utilisĂ©e par des attaquants rĂ©els.
Qu'est-ce que la traversée de chemin ?
La traversĂ©e de chemin est une mĂ©thode d'attaque oĂč un attaquant peut accĂ©der Ă des fichiers ou des rĂ©pertoires en dehors de la zone de stockage oĂč l'application est censĂ©e fonctionner. Cela peut mener Ă des actions non autorisĂ©es.
Implications
Les utilisateurs de WinRAR doivent ĂȘtre attentifs Ă cette vulnĂ©rabilitĂ© pour Ă©viter des exĂ©cutions de code non souhaitĂ©es qui pourraient compromettre leur systĂšme. Il est recommandĂ© de mettre Ă jour le logiciel pour se protĂ©ger contre cette attaque.
Posts / Sources (301)
CVE-2026-24858
An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] vulnerability in Fortinet FortiAnalyzer 7.6.0 through 7.6.5, FortiAnalyzer 7.4.0 through 7.4.9, FortiAnalyzer 7.2.0 through 7.2.11, FortiAnalyzer 7.0.0 through 7.0.15, FortiManager 7.6.0 through 7.6.5, FortiManager 7.4.0 through 7.4.9, FortiManager 7.2.0 through 7.2.11, FortiManager 7.0.0 through 7.0.15, FortiOS 7.6.0 through 7.6.5, FortiOS 7.4.0 through 7.4.10, FortiOS 7.2.0 through 7.2.12, FortiOS 7.0.0 through 7.0.18, FortiProxy 7.6.0 through 7.6.4, FortiProxy 7.4.0 through 7.4.12, FortiProxy 7.2.0 through 7.2.15, FortiProxy 7.0.0 through 7.0.22, FortiWeb 8.0.0 through 8.0.3, FortiWeb 7.6.0 through 7.6.6, FortiWeb 7.4.0 through 7.4.11 may allow an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts, if FortiCloud SSO authentication is enabled on those devices.
Vulnérabilité de Contournement d'Authentification dans Fortinet
Une vulnérabilité de contournement d'authentification utilisant un chemin ou un canal alternatif [CWE-288] a été identifiée dans plusieurs produits Fortinet :
- FortiAnalyzer : versions 7.6.0 Ă 7.6.5, 7.4.0 Ă 7.4.9, 7.2.0 Ă 7.2.11, 7.0.0 Ă 7.0.15
- FortiManager : versions 7.6.0 Ă 7.6.5, 7.4.0 Ă 7.4.9, 7.2.0 Ă 7.2.11, 7.0.0 Ă 7.0.15
- FortiOS : versions 7.6.0 Ă 7.6.5, 7.4.0 Ă 7.4.10, 7.2.0 Ă 7.2.12, 7.0.0 Ă 7.0.18
- FortiProxy : versions 7.6.0 Ă 7.6.4, 7.4.0 Ă 7.4.12, 7.2.0 Ă 7.2.15, 7.0.0 Ă 7.0.22
- FortiWeb : versions 8.0.0 Ă 8.0.3, 7.6.0 Ă 7.6.6, 7.4.0 Ă 7.4.11
Détails de la Vulnérabilité
Cette vulnérabilité permet à un attaquant possédant un compte FortiCloud et un dispositif enregistré de se connecter à d'autres appareils enregistrés sous différents comptes si l'authentification SSO (Single Sign-On) est activée sur ces dispositifs.
Implications
- AccÚs non autorisé : Un attaquant pourrait accéder à des appareils sans droits d'accÚs légitimes.
- Exposition des données : Cela peut entraßner la compromission de données sensibles ou la manipulation de configurations.
Recommandations
- Mise à jour des produits : Il est crucial de mettre à jour vers les versions corrigées fournies par Fortinet.
- Désactivation SSO : Envisager de désactiver l'authentification SSO jusqu'à ce qu'une mise à jour soit appliquée.
Posts / Sources (82)
CVE-2026-1281
A code injection in Ivanti Endpoint Manager Mobile allowing attackers to achieve unauthenticated remote code execution.
Analyse de la vulnérabilité
- Une injection de code a été découverte dans Ivanti Endpoint Manager Mobile.
- Cette vulnérabilité permet aux attaquants d'obtenir une exécution distante de code non authentifiée (Remote Code Execution, RCE).
- Cela signifie qu'un attaquant peut exécuter des commandes sur le systÚme cible sans avoir besoin de s'authentifier, ce qui augmente considérablement le risque de compromission.
Détails supplémentaires :
- La vulnĂ©rabilitĂ© pourrait ĂȘtre exploitĂ©e Ă distance, permettant une prise de contrĂŽle totale de la machine affectĂ©e.
- Ivanti Endpoint Manager Mobile est un produit utilisé pour gérer les appareils mobiles dans un environnement d'entreprise. Une faille de sécurité ici peut compromettre la sécurité des données de l'entreprise.
Termes clés :
- Injection de code : Technique oĂč un attaquant insĂšre et exĂ©cute du code malveillant dans un programme vulnĂ©rable.
- Exécution distante de code (RCE) : Capacité d'un attaquant à exécuter des instructions sur un systÚme à distance, souvent avec des privilÚges étendus.
Conclusion
Cette vulnérabilité dans Ivanti Endpoint Manager Mobile souligne l'importance des mises à jour de sécurité et des pratiques de codage sécurisées.
Posts / Sources (72)
CVE-2026-1340
A code injection in Ivanti Endpoint Manager Mobile allowing attackers to achieve unauthenticated remote code execution.
Traduction et explication
Une injection de code dans Ivanti Endpoint Manager Mobile permet aux attaquants d'obtenir une exécution de code à distance non authentifiée (RCE - Remote Code Execution).
Explications des termes :
- Injection de code : Cela signifie que des intrus peuvent insérer du code malveillant dans une application, l'exécutant ainsi sur le serveur ou l'appareil ciblé.
- Ivanti Endpoint Manager Mobile : Un produit utilisé pour gérer les appareils mobiles en entreprise.
- Exécution de code à distance non authentifiée (RCE) : Cela signifie que les attaquants peuvent exécuter du code ou des commandes à distance sur le systÚme cible sans avoir besoin de s'authentifier ou de fournir des identifiants.
Risques associés :
- ContrÎle total : Les attaquants pourraient prendre le contrÎle du dispositif ou accéder à des données confidentielles.
- Propagation : Cette vulnĂ©rabilitĂ© pourrait ĂȘtre utilisĂ©e pour affecter d'autres systĂšmes connectĂ©s ou responsables dans l'environnement d'entreprise.
Pour se protéger, il est crucial de mettre à jour réguliÚrement le logiciel et d'appliquer des pratiques de sécurité robustes.
Posts / Sources (55)
CVE-2026-24061
telnetd in GNU Inetutils through 2.7 allows remote authentication bypass via a "-f root" value for the USER environment variable.
Analyse de la vulnérabilité
- Produit affecté : telnetd dans GNU Inetutils version 2.7 et antérieures.
- Type de vulnérabilité : Bypass d'authentification à distance.
Détails de la vulnérabilité
GNU Inetutils est un ensemble d'outils réseau, dont telnetd, un serveur Telnet. Dans la version 2.7, une faille permet à un attaquant de contourner l'authentification à distance en définissant la variable d'environnement USER à une valeur spéciale.
- Vulnérabilité : Un attaquant peut utiliser la valeur
-f rootpour la variable USER. - Impact : Cela lui permettrait d'accéder au serveur telnet sans fournir les informations d'authentification requises, comme un nom d'utilisateur et un mot de passe.
Implications
- Risque : Un accÚs non autorisé peut mener à des actions malveillantes sur le systÚme, tel que le vol de données ou l'installation de logiciels malveillants.
- Conseil : Il est recommandé de mettre à jour vers une version sécurisée de GNU Inetutils pour éviter cette vulnérabilité.
Résumé des acronymes
- RCE : Remote Code Execution - Exécution de code à distance, permettant à un attaquant de faire exécuter des commandes.
- SSRF : Server-Side Request Forgery - Faillite qui permet Ă un attaquant d'inciter un serveur Ă faire des requĂȘtes malveillantes.
- XSS : Cross-Site Scripting - Vulnérabilité permettant d'injecter des scripts dans des pages web consultées par d'autres utilisateurs.
Conclusion
Soyez vigilant et assurez-vous que vos systÚmes sont à jour pour éviter ce type de vulnérabilités.
Posts / Sources (110)
CVE-2025-15467
Issue summary: Parsing CMS AuthEnvelopedData message with maliciously crafted AEAD parameters can trigger a stack buffer overflow. Impact summary: A stack buffer overflow may lead to a crash, causing Denial of Service, or potentially remote code execution. When parsing CMS AuthEnvelopedData structures that use AEAD ciphers such as AES-GCM, the IV (Initialization Vector) encoded in the ASN.1 parameters is copied into a fixed-size stack buffer without verifying that its length fits the destination. An attacker can supply a crafted CMS message with an oversized IV, causing a stack-based out-of-bounds write before any authentication or tag verification occurs. Applications and services that parse untrusted CMS or PKCS#7 content using AEAD ciphers (e.g., S/MIME AuthEnvelopedData with AES-GCM) are vulnerable. Because the overflow occurs prior to authentication, no valid key material is required to trigger it. While exploitability to remote code execution depends on platform and toolchain mitigations, the stack-based write primitive represents a severe risk. The FIPS modules in 3.6, 3.5, 3.4, 3.3 and 3.0 are not affected by this issue, as the CMS implementation is outside the OpenSSL FIPS module boundary. OpenSSL 3.6, 3.5, 3.4, 3.3 and 3.0 are vulnerable to this issue. OpenSSL 1.1.1 and 1.0.2 are not affected by this issue.
Résumé de la vulnérabilité
- ProblÚme : L'analyse d'un message CMS (Cryptographic Message Syntax) contenant des paramÚtres AEAD (Authenticated Encryption with Associated Data) malveillants peut provoquer un débordement de mémoire tampon sur la pile.
Impact
- Un débordement de mémoire tampon sur la pile peut entraßner :
- Crash : provoquant un déni de service (DoS).
- Exécution de code à distance (RCE) : une exploitation peut permettre à un attaquant d'exécuter du code malveillant sur le systÚme.
DĂ©tails techniques
- En analysant des structures CMS AuthEnvelopedData utilisant des chiffres AEAD comme AES-GCM :
- Le vecteur d'initialisation (IV) intégré dans les paramÚtres ASN.1 est copié dans une mémoire tampon de taille fixe sans vérifier si sa longueur est appropriée.
- Un attaquant peut soumettre un message CMS conçu avec un IV trop grand, entraßnant une écriture hors limites sur la pile.
- La vulnérabilité se produit avant toute vérification d'authentification, donc aucun matériel clé valide n'est nécessaire pour l'exploiter.
Produits concernés
- Vulnérables :
-
OpenSSL 3.6, 3.5, 3.4, 3.3 et 3.0.
-
Non vulnérables :
-
OpenSSL 1.1.1 et 1.0.2.
-
Les modules FIPS (Federal Information Processing Standards) dans les versions 3.6, 3.5, 3.4, 3.3 et 3.0 ne sont pas concernés, car l'implémentation CMS est en dehors de la portée du module FIPS d'OpenSSL.
Posts / Sources (40)
CVE-2024-37079
vCenter Server contains a heap-overflow vulnerability in the implementation of the DCERPC protocol. A malicious actor with network access to vCenter Server may trigger this vulnerability by sending a specially crafted network packet potentially leading to remote code execution.
Résumé de la vulnérabilité :
- Produit concerné : vCenter Server
- Type de vulnérabilité : Débordement de heap (heap overflow)
- Protocole impacté : DCERPC (Distributed Computing Environment Remote Procedure Calls)
DĂ©tails : - Cette vulnĂ©rabilitĂ© permet Ă un acteur malveillant ayant accĂšs au rĂ©seau de vCenter Server d'exploiter une faiblesse dans l'implĂ©mentation de DCERPC. - En envoyant un paquet rĂ©seau spĂ©cialement conçu, lâattaquant peut dĂ©clencher cette vulnĂ©rabilitĂ©.
Conséquences potentielles : - Exécution de code à distance (RCE) : Cela signifie que l'attaquant pourrait exécuter des commandes sur le systÚme distant, ce qui peut entraßner des accÚs non autorisés ou des dommages importants aux systÚmes.
Acronymes : - RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant de prendre le contrÎle d'un systÚme. - DCERPC : Un protocole utilisé pour permettre la communication entre processus distants, souvent dans un environnement distribué.
Il est crucial pour les utilisateurs de vCenter Server de mettre à jour leur logiciel pour se protéger contre cette vulnérabilité.
Posts / Sources (45)
CVE-2026-22709
vm2 is an open source vm/sandbox for Node.js. In vm2 prior to version 3.10.2, `Promise.prototype.then` `Promise.prototype.catch` callback sanitization can be bypassed. This allows attackers to escape the sandbox and run arbitrary code. In lib/setup-sandbox.js, the callback function of `localPromise.prototype.then` is sanitized, but `globalPromise.prototype.then` is not sanitized. The return value of async functions is `globalPromise` object. Version 3.10.2 fixes the issue.
vm2 est un environnement virtuel/sandbox open source pour Node.js. Dans les versions antĂ©rieures Ă la 3.10.2, la sanitisation des paramĂštres de rappel de Promise.prototype.then et Promise.prototype.catch pouvait ĂȘtre contournĂ©e. Cela permettait aux attaquants de sortir du sandbox et d'exĂ©cuter du code arbitraire.
Voici les points clés :
- Produit : vm2
- Version vulnérable : avant 3.10.2
- ProblĂšme : La fonction de rappel de
localPromise.prototype.thenest sécurisée, mais celle deglobalPromise.prototype.thenne l'est pas. - Conséquence : L'attaquant peut exploiter cette faille pour exécuter du code à l'extérieur du sandbox (ce qu'on appelle une exécution de code à distance ou RCE - Remote Code Execution).
La version 3.10.2 apporte un correctif pour résoudre cette vulnérabilité.
En résumé, il est important de mettre à jour vers la derniÚre version pour éviter les risques d'exploitation liés à cette faille.
Posts / Sources (21)
CVE-2026-23864
Multiple denial of service vulnerabilities exist in React Server Components, affecting the following packages: react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack. The vulnerabilities are triggered by sending specially crafted HTTP requests to Server Function endpoints, and could lead to server crashes, out-of-memory exceptions or excessive CPU usage; depending on the vulnerable code path being exercised, the application configuration and application code. Strongly consider upgrading to the latest package versions to reduce risk and prevent availability issues in applications using React Server Components.
Vulnérabilités de déni de service dans React Server Components
Plusieurs vulnérabilités de déni de service (DoS) existent dans les React Server Components, affectant les packages suivants :
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
Détails sur les vulnérabilités
- DĂ©clenchement : Ces vulnĂ©rabilitĂ©s sont activĂ©es par l'envoi de requĂȘtes HTTP spĂ©cialement conçues vers des points de terminaison de fonction serveur.
- Conséquences potentielles :
- Crashes du serveur
- Exceptions "out-of-memory" (manque de mémoire)
- Utilisation excessive du CPU
Cela dépendra des chemins de code vulnérables, de la configuration de l'application et du code de l'application.
Recommandations
- Mise à jour : Il est fortement conseillé de mettre à jour vers les derniÚres versions des packages afin de réduire les risques et de prévenir les problÚmes de disponibilité dans les applications utilisant les React Server Components.
Posts / Sources (18)
CVE-2026-23760
SmarterTools SmarterMail versions prior to build 9511 contain an authentication bypass vulnerability in the password reset API. The force-reset-password endpoint permits anonymous requests and fails to verify the existing password or a reset token when resetting system administrator accounts. An unauthenticated attacker can supply a target administrator username and a new password to reset the account, resulting in full administrative compromise of the SmarterMail instance. NOTE: SmarterMail system administrator privileges grant the ability to execute operating system commands via built-in management functionality, effectively providing administrative (SYSTEM or root) access on the underlying host.
Vulnérabilité dans SmarterTools SmarterMail
Les versions de SmarterMail antérieures à la build 9511 contiennent une vulnérabilité de contournement d'authentification dans l'API de réinitialisation de mot de passe. Voici les détails :
- L'endpoint
force-reset-passwordpermet des requĂȘtes anonymes. - Il ne vĂ©rifie pas le mot de passe existant ni le jeton de rĂ©initialisation lors de la modification des comptes d'administrateur systĂšme.
- Un attaquant non authentifié peut fournir un nom d'utilisateur d'administrateur ciblé et un nouveau mot de passe pour réinitialiser le compte.
Cette vulnérabilité peut conduire à un compromis complet des droits administratifs sur l'instance de SmarterMail.
Important : - Les privilÚges d'administrateur systÚme dans SmarterMail permettent d'exécuter des commandes du systÚme d'exploitation via des fonctions de gestion intégrées, offrant ainsi un accÚs administratif (systÚme ou root) sur l'hÎte sous-jacent.
Acronymes : - RCE : Remote Code Execution (exĂ©cution de code Ă distance). - SSRF : Server-Side Request Forgery (contournement de requĂȘte cĂŽtĂ© serveur). - XSS : Cross-Site Scripting (script intersite).
Prudence est de mise avec cette vulnérabilité !
Posts / Sources (19)
CVE-2025-55182
A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.
Un vulnérabilité de code à distance (RCE) pré-authentification existe dans les versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0 des React Server Components, y compris les paquets suivants :
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
Explication de la vulnérabilité :
- Deserialization insĂ©cure : Le code vulnĂ©rable dĂ©sĂ©rialise de maniĂšre non sĂ©curisĂ©e les charges utiles (payloads) provenant des requĂȘtes HTTP vers les points de terminaison des Fonctions Serveur. Cela signifie que des donnĂ©es malveillantes pourraient ĂȘtre envoyĂ©es et exĂ©cutĂ©es sur le serveur, permettant Ă un attaquant d'exĂ©cuter du code arbitraire avant que l'utilisateur ne soit authentifiĂ©.
Acronymes :
- RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur un systÚme ciblé.
- HTTP (HyperText Transfer Protocol) : Protocole de communication pour le transfert de données sur le Web.
Recommandation :
Il est conseillé de mettre à jour vers des versions sécurisées de React Server Components pour éviter toute exploitation de cette vulnérabilité.