🪲 March 2026 — CVE les plus discutées

Analyse de sécurité

Sujet : Validation d'entrée insuffisante dans NetScaler ADC et NetScaler Gateway en tant que SAML IDP

Résumé : - Produit concerné : NetScaler ADC et NetScaler Gateway. - Problème : Une validation d'entrée insuffisante a été identifiée. - Impact : Cela peut entraîner un memory overread, une situation où des données en dehors des limites de la mémoire allouée sont lues, ce qui peut potentiellement être exploité par un attaquant.

Détails : - SAML IDP : Signifie "Security Assertion Markup Language Identity Provider". C'est un service qui authentifie les utilisateurs et délivre des assertions de sécurité à des applications. - Mémoire overread : Cela peut permettre à un attaquant d'accéder à des informations sensibles non autorisées, mettant ainsi en péril la confidentialité des données.

Conséquences possibles : - Exploitation : Cette vulnérabilité pourrait être exploitée par un attaquant pour effectuer des actions malveillantes. - Sécurisation : Il est crucial de mettre à jour les configurations de sécurité pour éviter ce type d'attaque.

Conclusion : Une attention particulière à la validation des entrées et à la configuration des produits concernés est essentielle pour garantir la sécurité des systèmes utilisant SAML.

Une vulnérabilité dans l'interface de gestion basée sur le web du logiciel Cisco Secure Firewall Management Center (FMC) pourrait permettre à un attaquant distant non authentifié d'exécuter un code Java arbitraire en tant que root sur un appareil affecté.

Cette vulnérabilité est due à une désérialisation peu sécurisée d'un flux d'octets Java fourni par l'utilisateur. Plus précisément :

• Désérialisation : processus qui convertit des données d'un format de stockage à un objet utilisable en mémoire. Quand elle est mal sécurisée, elle peut permettre l'exécution de code malveillant.
• Attaquant : une personne malveillante qui exploite cette faiblesse.
• Exploitation : l'attaquant peut envoyer un objet Java sérialisé modifié à l'interface de gestion basée sur le web de l'appareil affecté.

L'exploitation réussie de cette vulnérabilité pourrait permettre à l'agresseur d'exécuter du code arbitraire sur l'appareil et d'élever ses privilèges jusqu'à root (administrateur complet).

Important : Si l'interface de gestion FMC n'a pas d'accès public à Internet, la surface d'attaque associée à cette vulnérabilité est considérablement réduite.

Langflow est un outil permettant de créer et déployer des agents et workflows alimentés par l'intelligence artificielle. Dans les versions antérieures à 1.9.0, l'endpoint POST /api/v1/build_public_tmp/{flow_id}/flow permettait de construire des flux publics sans nécessiter d'authentification.

• Lorsque le paramètre de données optionnel est fourni, cet endpoint utilise des données de flux contrôlées par un attaquant (contenant du code Python arbitraire dans les définitions de nœud) au lieu des données de flux stockées dans la base de données.
• Ce code est exécuté via exec() sans aucune protection (sandboxing), ce qui entraîne une exécution de code à distance non authentifiée (RCE).
• Cela diffère de CVE-2025-3248, qui a corrigé l'endpoint /api/v1/validate/code en ajoutant une authentification.
• L'endpoint build_public_tmp est conçu pour être non authentifié (pour les flux publics), mais accepte incorrectement des données de flux fournies par un attaquant contenant du code exécutable arbitraire.

Ce problème a été corrigé dans la version 1.9.0.

Vulnérabilité dans snapd pour Linux

Description de la vulnérabilité

Une élévation de privilèges locale (Local Privilege Escalation - LPE) dans snapd sur Linux permet à des attaquants locaux d'obtenir les privilèges root. Ce problème survient en raison de la possibilité de recréer le répertoire privé /tmp de snap lorsque systemd-tmpfiles est configuré pour nettoyer automatiquement ce répertoire.

Produits impactés

Cette vulnérabilité affecte les versions suivantes d'Ubuntu : - 16.04 LTS - 18.04 LTS - 20.04 LTS - 22.04 LTS - 24.04 LTS

Détails techniques

• snapd : Un système de gestion de paquets pour installer et gérer des applications snap sur Linux.
• systemd-tmpfiles : Un service de systemd qui gère les fichiers temporaires et leur nettoyage.

Impact

Si un attaquant parvient à exploiter cette vulnérabilité, il peut obtenir des droits d'accès élevés sur le système, ce qui peut mener à des compromissions majeures.

Conclusion

Il est fortement recommandé de mettre à jour les systèmes affectés pour se protéger contre cette vulnérabilité.

Voici la traduction et l'explication de la phrase :

Corruption de la mémoire due à l'utilisation de mises en mémoire pour l'allocation.

Explications :

• Corruption de la mémoire : Cela se produit lorsqu'un programme écrit dans une zone de mémoire qui ne lui appartient pas, ce qui peut entraîner un comportement imprévisible ou des failles de sécurité.

• Alignements : Cela fait référence à la pratique de réserver de l'espace mémoire en fonction de certains critères (comme la longueur des données) pour améliorer les performances. Un mauvais alignement peut créer des vulnérabilités.

Risques potentiels :

• RCE (Remote Code Execution) : Une vulnérabilité qui permet à un attaquant d'exécuter du code malveillant à distance.
• SSRF (Server-Side Request Forgery) : Une technique où un attaquant envoie des requêtes à un serveur via un service vulnérable, souvent pour accéder à des ressources internes.
• XSS (Cross-Site Scripting) : Cela implique l'injection de scripts malveillants dans des pages web vues par d'autres utilisateurs.

Conclusion :

Le problème de corruption de la mémoire associé à l’allocation peut créer des failles de sécurité sérieuses, permettant à un attaquant d'exploiter le système si cela n'est pas corrigé.

Lorsqu'une politique d'accès BIG-IP APM (Access Policy Manager) est configurée sur un serveur virtuel, des trafics malveillants spécifiques peuvent provoquer une Exécution de Code à Distance (RCE).

Explications :

• BIG-IP APM : C'est un produit de F5 qui gère les politiques d'accès sur des serveurs virtuels.
• RCE (Remote Code Execution) : Cela signifie qu'un attaquant peut exécuter des commandes malveillantes sur un serveur à distance, ce qui représente un risque majeur pour la sécurité.

Remarque :

• Les versions logicielles qui ont atteint la fin du support technique (EoTS) ne sont pas évaluées pour cette vulnérabilité. Cela signifie que les versions obsolètes ne reçoivent plus de mises à jour de sécurité et peuvent être plus vulnérables.

En résumé, si votre serveur virtuel utilise une politique d'accès BIG-IP APM, il est crucial de vérifier la sécurité contre des exploitations pouvant entraîner une RCE, surtout sur des versions qui ne sont plus supportées.

Vulnérabilité dans Oracle Identity Manager et Oracle Web Services Manager

Une vulnérabilité a été identifiée dans le produit Oracle Identity Manager et dans le produit Oracle Web Services Manager, tous deux faisant partie d’Oracle Fusion Middleware. Les composants concernés sont REST Web Services et Web Services Security. Les versions affectées sont :

• 12.2.1.4.0
• 14.1.2.1.0

Détails de la vulnérabilité :

• Type d'attaque : vulnérabilité facilement exploitable.
• Accès requis : un attaquant non authentifié avec un accès réseau via HTTP peut compromettre ces systèmes.
• Conséquences : des attaques réussies peuvent permettre la prise de contrôle d’Oracle Identity Manager et d’Oracle Web Services Manager.

Note :

• Oracle Web Services Manager est généralement installé avec une infrastructure Oracle Fusion Middleware.

Scores de Sécurité :

• CVSS (Common Vulnerability Scoring System) 3.1 Base Score : 9.8
• Impact : Confidentialité, Intégrité et Disponibilité.

CVSS Vector :

• (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Abréviations :

• RCE : Remote Code Execution (Exécution de code à distance)
• SSRF : Server-Side Request Forgery (Falsification de requête côté serveur)
• XSS : Cross-Site Scripting (Script inter-sites)

Cette vulnérabilité pose des risques sérieux pour la sécurité, et il est recommandé de mettre à jour vers des versions sécurisées.

Le service telnetd dans les utilitaires GNU inetutils, jusqu'à la version 2.7, présente une vulnérabilité qui permet une écriture hors limites. Cela se produit dans le gestionnaire de sous-options LINEMODE SLC (Set Local Characters). L'appel à la fonction add_slc ne vérifie pas si le tampon est plein, ce qui peut entraîner des problèmes de sécurité.

Explications :

• Vulnérabilité : Écriture hors limites (out-of-bounds write) - Cela signifie que le programme peut écrire des données en dehors de la mémoire qui lui est allouée, pouvant ainsi corrompre des données ou exécuter du code malveillant.

• LINEMODE SLC : Une sous-option dans le protocole Telnet utilisée pour définir des caractères locaux.

Risques potentiels :

• Exécution de code à distance (RCE) : Un attaquant pourrait exploiter cette faille pour exécuter du code non autorisé sur le système vulnérable.
• Impact sur la sécurité : Cette vulnérabilité peut compromettre la sûreté du serveur utilisant telnetd et exposer des données sensibles.

Il est crucial de mettre à jour les systèmes vulnérables pour éviter les attaques potentielles.

Le routeur ZyXEL P660HN-T1A v1 avec le firmware TCLinux $7.3.15.0 v001 / 3.40(ULM.0)b31, distribué par TrueOnline, présente une vulnérabilité d'injection de commande dans la fonction de transfert des journaux système à distance. Cette vulnérabilité est accessible par un utilisateur non authentifié.

Détails de la vulnérabilité :

• Type de vulnérabilité : Injection de commande
• Impact : Un attaquant peut exécuter des commandes arbitraires sur le système.

Points clés :

• Page concernée : ViewLog.asp
• Paramètre exploitable : remote_host

Explications des acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur le système cible.
• SSRF (Server-Side Request Forgery) : Une vulnérabilité permettant à un attaquant de manipuler un serveur pour qu'il envoie des demandes à d'autres services internes.
• XSS (Cross-Site Scripting) : Une vulnérabilité qui permet d'injecter des scripts malveillants dans des pages web vues par d'autres utilisateurs.

Cette vulnérabilité nécessite une attention particulière pour prévenir tout risque d’exploitation.

Le routeur D-Link DIR-645 (version Rev. Ax) avec le firmware 1.04b12 et les versions antérieures présente une vulnérabilité. Voici les détails :

• ** Produit concerné:** D-Link DIR-645 (filiaire/sans fil)
• Version de firmware vulnérable: 1.04b12 et antérieures
• Vulnérabilité: Permet à des attaquants distants d'exécuter des commandes arbitraires.
• Méthode d'attaque: Via l'action GetDeviceSettings sur l'interface HNAP (Home Network Administration Protocol).

Acronyms :

• RCE (Remote Code Execution): Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur un appareil sans accès physique.
• HNAP (Home Network Administration Protocol): Protocole utilisé pour gérer des appareils réseau à distance.

Cette vulnérabilité expose les utilisateurs à des risques importants, car elle permet un accès non autorisé et potentiellement malveillant aux dispositifs connectés. Il est recommandé de mettre à jour le firmware pour corriger cette faille.

Vulnérabilité de NETGEAR DGN1000

Détails de la vulnérabilité :

• Produit concerné : NETGEAR DGN1000 (versions avant 1.1.00.48)
• Type de vulnérabilité : Bypass d'authentification.

Description :

• Cette vulnérabilité permet à un attaquant distant et non authentifié d'exécuter des commandes arbitraires sur le système d’exploitation avec les privilèges de superutilisateur (root).
• L'attaquant peut exploiter cette faille en envoyant des requêtes HTTP spécialement conçues à l'endpoint setup.cgi.

Contexte :

• La vulnérabilité a été observée en exploitation active depuis au moins 2017.
• Le 6 février 2025, la Fondation Shadowserver a spécifiquement signalé cette exploitation.

Acronymes :

• RCE : Remote Code Execution - Exécution de code à distance, permettant à un attaquant de contrôler un système.
• SSRF : Server-Side Request Forgery - Failles permettant à un attaquant de créer des requêtes par le serveur.
• XSS : Cross-Site Scripting - Injection de scripts malveillants dans des pages web consultées par d'autres utilisateurs.

Recommandations :

• Mettre à jour le firmware vers la dernière version pour corriger cette vulnérabilité.
• Surveiller les logs pour détecter des activités suspectes.

Vulnérabilité dans Cisco Catalyst SD-WAN

Une vulnérabilité dans le mécanisme d'authentification de peering au sein des contrôleurs Cisco Catalyst SD-WAN et SD-WAN Manager pourrait permettre à un attaquant non authentifié et à distance de contourner cette authentification et d'obtenir des privilèges administratifs sur un système affecté.

Détails de la vulnérabilité :

• Produits concernés :
• Cisco Catalyst SD-WAN Controller (anciennement SD-WAN vSmart)

• Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage)

• Description :

• La vulnérabilité découle d’un fonctionnement incorrect du mécanisme d’authentification de peering.

• Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes spécialement conçues à un système affecté.

• Conséquences :

• Si l'attaque réussit, l'attaquant peut se connecter au Cisco Catalyst SD-WAN Controller avec un compte utilisateur non-root à hauts privilèges.
• Grâce à ce compte, l'attaquant a accès à NETCONF (un protocole de gestion de réseau) et peut ainsi manipuler la configuration du réseau pour le SD-WAN.

Acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d’exécuter des commandes sur un système distant.
• SSRF (Server-Side Request Forgery) : Détournement de requêtes côté serveur.
• XSS (Cross-Site Scripting) : Typologie d'attaque permettant d’injecter des scripts malveillants dans des pages web.

Une vulnérabilité a été découverte sur les routeurs domestiques Dasan GPON. Voici les détails :

• Type de vulnérabilité : Injection de commande (Command Injection)
  Cela permet à un attaquant d'exécuter des commandes arbitraires sur le système.

• Paramètre concerné : dest_host
  Cette vulnérabilité peut survenir via le paramètre dest_host dans une requête diag_action=ping à l'URI GponForm/diag_Form.

• Impact :
  Le routeur sauvegarde les résultats des pings dans le répertoire /tmp et les transmet à l'utilisateur lors de la visite de /diag.html. Cela rend l'exécution de commandes et la récupération de leurs résultats assez simples pour un attaquant.

Acronymes utiles :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant de prendre le contrôle d'une machine.
• SSRF (Server-Side Request Forgery) : Une vulnérabilité permettant à un attaquant de faire des requêtes vers des ressources internes via un serveur.
• XSS (Cross-Site Scripting) : Une attaque où l'attaquant injecte des scripts malveillants dans une page web vue par d'autres utilisateurs.

Cette vulnérabilité souligne l'importance de sécuriser les interfaces de diagnostic des dispositifs réseau.

Vulnérabilité d'injection de commandes OS

Une vulnérabilité d'injection de commandes OS concerne les enregistreurs vidéo numériques (DVR) sous marque blanche fabriqués par TVT. Elle affecte un service HTTP personnalisé appelé "Cross Web Server" qui écoute sur les ports TCP 81 et 82.

Détails de la vulnérabilité :

• Problème : L'interface web ne filtre pas correctement les entrées dans le chemin URI utilisées pour la fonctionnalité d'extraction de langue.
• Impact : Lorsqu'une requête est traitée pour /language/[lang]/index.html, l'entrée [lang] est utilisée de manière non sécurisée dans une commande d'extraction tar, sans échappement approprié.
• Conséquence : Cela permet à un attaquant distant non authentifié d'injecter des commandes shell, entraînant une exécution arbitraire de commandes en tant que root (administrateur).

Preuve d'exploitation :

Un rapport d'exploitation a été observé par la Shadowserver Foundation le 6 février 2025 UTC.

Acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur une machine cible.
• SSRF (Server-Side Request Forgery) : Détournement d'une requête côté serveur, où l'attaquant peut faire en sorte que le serveur envoie des requêtes à d'autres ressources.
• XSS (Cross-Site Scripting) : Injection de scripts malveillants dans des pages web vues par d'autres utilisateurs.

Attention : Cette vulnérabilité doit être rapidement corrigée pour éviter des attaques potentielles.

Vulnérabilité dans VMware Aria Operations

VMware Aria Operations présente une vulnérabilité d'injection de commandes. Un acteur malveillant non authentifié peut exploiter ce problème pour exécuter des commandes arbitraires, ce qui pourrait conduire à une exécution de code à distance (RCE) dans VMware Aria Operations lors de la migration de produit assistée par le support.

Détails :

• CVE-2026-22719 : Identifiant de la vulnérabilité.
• Injection de commandes : Technique permettant à un attaquant d’exécuter des commandes non autorisées dans un système.
• Exécution de code à distance (RCE) : Permet à un attaquant d'exécuter des scripts ou des programmes sur un système distant.

Actions recommandées :

• Pour remédier à CVE-2026-22719, appliquez les patches indiqués dans la colonne 'Fixed Version' de la Response Matrix accessible ici : Response Matrix.

Workarounds :

• Des solutions de contournement pour CVE-2026-22719 sont documentées dans la colonne 'Workarounds' de la Response Matrix citée ci-dessus.

Assurez-vous de prendre les mesures nécessaires pour protéger vos systèmes.

Analyse de la vulnérabilité

Vulnérabilité : Deserialization of untrusted data (Désérialisation de données non fiables)

Produit concerné : Microsoft Office SharePoint

Détails

• Nature de la vulnérabilité : La désérialisation de données non fiables permet à un attaquant autorisé d'exécuter du code à distance sur le réseau.

• Impact :

• Cette vulnérabilité est qualifiée de RCE (Remote Code Execution - Exécution de code à distance). Cela signifie qu'un attaquant peut potentiellement exécuter des instructions non autorisées sur le système cible.

Mécanisme

• La désérialisation consiste à transformer des données (comme des fichiers ou des données de session) en objets utilisables par le programme. Si ces données ne proviennent pas d'une source fiable, un attaquant pourrait injecter du code malveillant.

Contexte

• Attaquant autorisé : Cela indique que la vulnérabilité nécessite au moins un accès limité au système, ce qui peut réduire la portée de l'attaque, mais reste critique.

Conclusion

La vigilance est nécessaire pour protéger votre instance de SharePoint, en s'assurant que seules des sources fiables sont utilisées pour les données désérialisées.

Une vulnérabilité d'exécution de code à distance (RCE) avant authentification existe dans les versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0 des React Server Components. Les paquets concernés incluent :

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

Description de la vulnérabilité :

• La vulnérabilité permet à un attaquant d'exécuter du code à distance sur le serveur, sans avoir besoin de s'authentifier.
• Cela se produit car le code vulnérable désérialise de manière non sécurisée des charges utiles (payloads) issues des requêtes HTTP vers des points d'accès (endpoints) de fonctions serveur.

Acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur un serveur.

Il est donc crucial de mettre à jour les versions de React Server Components pour éviter toute exploitation potentielle de cette faille.

Problème de sécurité :

• Validation d'entrée insuffisante : Cela signifie que le système ne vérifie pas correctement les données d'entrée fournies par l'utilisateur.

• Conséquence : Cela peut entraîner un memory overread (lecture excessive de la mémoire), où des informations sensibles pourraient être compromises.

• Contexte de la vulnérabilité : Ce problème se produit lorsque le NetScaler est configuré comme :

• Gateway (serveur VPN, ICA Proxy, CVPN, RDP Proxy)
• OU en tant que AAA virtual server (serveur virtuel d’authentification, d'autorisation et de comptabilité).

Produits concernés : - NetScaler : Un produit de Citrix utilisé pour gérer le trafic réseau et fournir des services VPN.

Terminologie : - RCE (Remote Code Execution) : Exécution de code à distance, où un attaquant peut exécuter des commandes sur une machine distante. - SSRF (Server-Side Request Forgery) : Une vulnérabilité permettre à un attaquant de manipuler un serveur pour qu'il envoie des requêtes non autorisées. - XSS (Cross-Site Scripting) : Technique d'attaque permettant l'injection de scripts malveillants dans des pages web consultées par d'autres utilisateurs.

Cette vulnérabilité pourrait permettre à un attaquant d’accéder à des données sensibles en exploitant le NetScaler de manière inappropriée. Il est crucial de veiller à une vérification des entrées robuste pour atténuer ce risque.

Une vulnérabilité à l'origine croisée dans l'API de Navigation a été résolue grâce à une meilleure validation des entrées. Voici quelques points clés :

• Problème identifié : Une faille qui permettait à du contenu web malveillant de contourner la Same Origin Policy (Politique de même origine), ce qui peut mener à des attaques de type RCE (Remote Code Execution) si exploitées.
• Corrigé dans :
• iOS : 18.7.7
• iPadOS : 18.7.7
• macOS : Tahoe 26.4
• Safari : 26.4
• Version pour visionOS : 26.4
• Impact : Le contournement de la Politique de même origine peut permettre à un attaquant d'accéder à des données restreintes d'un site web, ce qui pose des risques pour la sécurité des utilisateurs.

L'amélioration de la validation des entrées est essentielle pour protéger les utilisateurs contre des attaques potentiellement graves.

Traduction et Explication

• Vulnérabilité : Écriture hors limites (Out of bounds write) dans Skia (bibliothèque graphique utilisée par Google Chrome).
• Produit concerné : Google Chrome avant la version 146.0.7680.75.
• Impact : Cela permettait à un attaquant distant d'accéder à la mémoire de manière non autorisée en utilisant une page HTML spécialement conçue.
• Sévérité de la sécurité : Haute (selon le classement de sécurité de Chromium).

Terminologie

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant de prendre le contrôle d'un système à distance.
• SSRF (Server-Side Request Forgery) : Manipulation de requêtes effectuées par un serveur, souvent utilisées pour accéder à des ressources internes.
• XSS (Cross-Site Scripting) : Vulnérabilité permettant à un attaquant d'injecter du code malveillant dans une page web vue par d'autres utilisateurs.

Conclusion

Les utilisateurs de Chrome doivent toujours s'assurer qu'ils utilisent la dernière version pour éviter de telles vulnérabilités. La mise à jour régulière de votre navigateur est essentielle pour limiter les risques de sécurité.