Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée.
PĂ©riode analysĂ©e : 2026-04-12 â 2026-04-19.
Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin dâaider Ă la priorisation de la veille et de la remĂ©diation.
đ LĂ©gende :
- CVSS : score officiel de sévérité technique.
- EPSS : probabilitĂ© dâexploitation observĂ©e.
- VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité.
- CISA KEV : vulnérabilité activement exploitée selon la CISA.
- seen / exploited : signaux observés dans les sources publiques.
CVE-2026-34621
Acrobat Reader versions 24.001.30356, 26.001.21367 and earlier are affected by an Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious file.
Vulnérabilité dans Acrobat Reader
Les versions d'Acrobat Reader 24.001.30356, 26.001.21367 et antérieures sont affectées par une vulnérabilité connue sous le nom de Prototype Pollution (pollution du prototype mal contrÎlée). Cette vulnérabilité peut mener à une Exécution de Code Arbitraire (RCE - Remote Code Execution) dans le contexte de l'utilisateur actuel.
Détails de la vulnérabilité :
- Prototype Pollution : Une technique d'attaque qui permet à un attaquant d'altérer le comportement d'objets dans un langage de programmation, ce qui peut entraßner des failles de sécurité.
- RCE (Remote Code Execution) : Cela signifie qu'un attaquant peut exécuter du code à distance sur l'ordinateur de la victime.
Conditions d'exploitation :
- Interaction de l'utilisateur : L'exploitation de cette vulnérabilité nécessite que la victime ouvre un fichier malveillant.
Importance de la mise Ă jour
Il est crucial de mettre à jour vers les versions corrigées d'Acrobat Reader pour se protéger contre cette vulnérabilité.
Posts / Sources (124)
CVE-2026-32201
Improper input validation in Microsoft Office SharePoint allows an unauthorized attacker to perform spoofing over a network.
Vulnérabilité dans Microsoft Office SharePoint
-
ProblÚme : Il y a une validation inadéquate des entrées (improper input validation) dans Microsoft Office SharePoint.
-
Conséquence : Cette vulnérabilité permet à un attaquant non autorisé d'effectuer du spoofing sur un réseau. Le spoofing consiste à se faire passer pour une autre personne ou entité pour tromper le systÚme ou l'utilisateur.
Explications des termes
-
Microsoft Office SharePoint : Une plateforme de collaboration utilisée pour la gestion de documents et le partage d'informations dans les entreprises.
-
Validation des entrées : Processus qui vérifie si les données reçues par une application sont correctes et conformes aux attentes.
Risques
- Si l'attaquant réussit à exploiter cette vulnérabilité, cela peut compromettre la sécurité des données sur le réseau, en permettant une usurpation d'identité et potentiellement des accÚs non autorisés à des informations sensibles.
Recommandations
- Mettre à jour Microsoft Office SharePoint pour corriger cette vulnérabilité.
- Renforcer les contrÎles de validation des entrées pour éviter tout type de contournement ou d'usurpation à l'avenir.
Posts / Sources (55)
CVE-2026-33032
Nginx UI is a web user interface for the Nginx web server. In versions 2.3.5 and prior, the nginx-ui MCP (Model Context Protocol) integration exposes two HTTP endpoints: /mcp and /mcp_message. While /mcp requires both IP whitelisting and authentication (AuthRequired() middleware), the /mcp_message endpoint only applies IP whitelisting - and the default IP whitelist is empty, which the middleware treats as "allow all". This means any network attacker can invoke all MCP tools without authentication, including restarting nginx, creating/modifying/deleting nginx configuration files, and triggering automatic config reloads - achieving complete nginx service takeover. At time of publication, there are no publicly available patches.
Vulnérabilité dans Nginx UI
Nginx UI est une interface web pour le serveur web Nginx. Dans les versions 2.3.5 et antĂ©rieures, lâintĂ©gration du MCP (Model Context Protocol) expose deux points de terminaison HTTP : /mcp et /mcp_message.
Détails des vulnérabilités :
- /mcp :
-
NĂ©cessite une liste blanche d'IP et une authentification grĂące Ă un middleware (AuthRequired()).
-
/mcp_message :
- NĂ©cessite seulement une liste blanche d'IP.
- La liste blanche par défaut est vide, ce qui signifie que toutes les IP sont autorisées.
Risque :
Cela permet à un attaquant sur le réseau d'invoquer tous les outils du MCP sans authentification. Cela inclut : - Redémarrer Nginx - Créer, modifier ou supprimer des fichiers de configuration Nginx - Déclencher des recharges automatiques de configuration
Cela donne un contrĂŽle total sur le service Nginx.
Remarque :
à la date de publication, il n'existe pas de correctifs publiés pour cette vulnérabilité.
Acronymes :
- RCE : Remote Code Execution (Exécution de code à distance)
- SSRF : Server-Side Request Forgery (Usurpation de requĂȘte cĂŽtĂ© serveur)
- XSS : Cross-Site Scripting (Script inter-sites)
Posts / Sources (58)
CVE-2026-34197
Improper Input Validation, Improper Control of Generation of Code ('Code Injection') vulnerability in Apache ActiveMQ Broker, Apache ActiveMQ. Apache ActiveMQ Classic exposes the Jolokia JMX-HTTP bridge at /api/jolokia/ on the web console. The default Jolokia access policy permits exec operations on all ActiveMQ MBeans (org.apache.activemq:*), including BrokerService.addNetworkConnector(String) and BrokerService.addConnector(String). An authenticated attacker can invoke these operations with a crafted discovery URI that triggers the VM transport's brokerConfig parameter to load a remote Spring XML application context using ResourceXmlApplicationContext. Because Spring's ResourceXmlApplicationContext instantiates all singleton beans before the BrokerService validates the configuration, arbitrary code execution occurs on the broker's JVM through bean factory methods such as Runtime.exec(). This issue affects Apache ActiveMQ Broker: before 5.19.4, from 6.0.0 before 6.2.3; Apache ActiveMQ All: before 5.19.4, from 6.0.0 before 6.2.3; Apache ActiveMQ: before 5.19.4, from 6.0.0 before 6.2.3. Users are recommended to upgrade to version 5.19.4 or 6.2.3, which fixes the issue
Vulnérabilité dans Apache ActiveMQ
Une vulnérabilité due à une validation incorrecte des entrées et à un contrÎle inapproprié de la génération de code (appelée injection de code) a été identifiée dans le Broker Apache ActiveMQ.
Détails de la vulnérabilité :
- Produit concerné : Apache ActiveMQ, versions avant 5.19.4 et de 6.0.0 avant 6.2.3.
- Point d'entrée : Le pont JMX-HTTP Jolokia est exposé à l'URL /api/jolokia/ dans la console web.
- Politique d'accÚs par défaut : Autorise les opérations exec sur tous les MBeans d'ActiveMQ (org.apache.activemq:*).
- Risques :
- Un attaquant authentifié peut invoquer certaines opérations, comme
BrokerService.addNetworkConnector(String). - En utilisant une URI de découverte malveillante, l'attaquant peut forcer la configuration du transport VM à charger un contexte XML distant à travers ResourceXmlApplicationContext.
- Cela permet l'exécution de code arbitraire sur la JVM du broker via des méthodes comme
Runtime.exec().
Recommandations :
- Mise à jour : Il est fortement conseillé aux utilisateurs de mettre à jour vers les versions 5.19.4 ou 6.2.3, qui corrigent ce problÚme.
Acronymes :
- RCE : Remote Code Execution - exécution de code à distance.
- SSRF : Server-Side Request Forgery - falsification de requĂȘtes cĂŽtĂ© serveur.
- XSS : Cross-Site Scripting - script intersite, une vulnérabilité de sécurité web.
Posts / Sources (70)
CVE-2026-33825
Insufficient granularity of access control in Microsoft Defender allows an authorized attacker to elevate privileges locally.
Vulnérabilité : CVE-2023-XXXX
- Produit concerné : Microsoft Defender
- Type de vulnĂ©rabilitĂ© : ĂlĂ©vation de privilĂšges locale
Description : Une insuffisance dans la granularitĂ© des contrĂŽles dâaccĂšs dans Microsoft Defender permet Ă un attaquant autorisĂ© d'Ă©lever ses privilĂšges localement.
Explications des termes : - AccĂšs contrĂŽlĂ© : Un systĂšme qui rĂ©gule qui peut accĂ©der Ă certaines ressources et Ă quel niveau. - ĂlĂ©vation de privilĂšges : Action d'obtenir des droits d'accĂšs plus Ă©levĂ©s que ce qui est normalement accordĂ©, ce qui peut permettre Ă un utilisateur d'effectuer des actions non autorisĂ©es.
Cette vulnĂ©rabilitĂ© met en risque la sĂ©curitĂ© des systĂšmes oĂč Microsoft Defender est dĂ©ployĂ©, car un utilisateur avec des permissions limitĂ©es pourrait exploiter cette faille pour obtenir un contrĂŽle accru sur le systĂšme.
Posts / Sources (40)
CVE-2026-39987
marimo is a reactive Python notebook. Prior to 0.23.0, Marimo has a Pre-Auth RCE vulnerability. The terminal WebSocket endpoint /terminal/ws lacks authentication validation, allowing an unauthenticated attacker to obtain a full PTY shell and execute arbitrary system commands. Unlike other WebSocket endpoints (e.g., /ws) that correctly call validate_auth() for authentication, the /terminal/ws endpoint only checks the running mode and platform support before accepting connections, completely skipping authentication verification. This vulnerability is fixed in 0.23.0.
Marimo est un carnet de notes Python réactif. Avant la version 0.23.0, Marimo présentait une vulnérabilité de RCE (Remote Code Execution ou Exécution de Code à Distance) pré-authentification. Voici les détails :
- Le point de terminaison WebSocket /terminal/ws ne valide pas l'authentification.
- Cela permet à un attaquant non authentifié d'accéder à un shell PTY complet et d'exécuter des commandes systÚme arbitraires.
- Contrairement à d'autres points de terminaison WebSocket (comme /ws) qui effectuent correctement une vérification d'authentification via
validate_auth(), le point /terminal/ws se contente de vérifier le mode d'exécution et le support de la plateforme avant d'accepter les connexions, négligeant entiÚrement la vérification d'authentification. - Cette vulnérabilité a été corrigée dans la version 0.23.0.
RCE : Exécution de code à distance, permettant à un attaquant de lancer des commandes sur un systÚme distant.
PTY : Pseudo-terminal, utilisé pour contrÎler des sessions de terminal.
Il est crucial de mettre à jour vers la version 0.23.0 pour corriger cette faille de sécurité.
Posts / Sources (64)
CVE-2026-33824
Double free in Windows IKE Extension allows an unauthorized attacker to execute code over a network.
Résumé de la vulnérabilité
Une double libération dans l'extension IKE (Internet Key Exchange) de Windows permet à un attaquant non autorisé d'exécuter du code à distance sur un réseau.
DĂ©tails
-
Double libĂ©ration (Double free) : Cela fait rĂ©fĂ©rence Ă une vulnĂ©rabilitĂ© oĂč un programme libĂšre (dĂ©salloue) une mĂ©moire dĂ©jĂ libĂ©rĂ©e. Cela peut entraĂźner des comportements imprĂ©visibles et potentiellement permettre Ă un attaquant d'exĂ©cuter son propre code.
-
IKE (Internet Key Exchange) : Protocole utilisé pour établir des clés de sécurité dans les communications réseau. Il est couramment associé à des VPN et à des systÚmes de sécurité réseau.
-
Exécution de code à distance (RCE - Remote Code Execution) : Cela signifie qu'un attaquant peut exécuter des commandes ou des programmes sur un systÚme distant, souvent sans autorisation.
Impact
- Cette vulnérabilité pourrait permettre à un attaquant de prendre le contrÎle d'un appareil ou d'un réseau, compromettant ainsi la sécurité des données.
Recommandation
- Il est essentiel de mettre à jour le logiciel concerné dÚs que des correctifs sont disponibles pour éviter tout risque d'exploitation de cette vulnérabilité.
Pour plus d'informations, consultez les mises à jour de sécurité de Microsoft concernant l'extension IKE.
Posts / Sources (23)
CVE-2024-3721
A vulnerability was found in TBK DVR-4104 and DVR-4216 up to 20240412 and classified as critical. This issue affects some unknown processing of the file /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___. The manipulation of the argument mdb/mdc leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-260573 was assigned to this vulnerability.
Une vulnérabilité a été détectée dans TBK DVR-4104 et DVR-4216 jusqu'au 12 avril 2024, classée comme critique. Voici les détails :
- Impact : Cette vulnérabilité concerne un traitement inconnu du fichier /device.rsp?opt=sys&cmd=SO_S_T_R_E_A_MAX.
- Type d'attaque : La manipulation des arguments mdb/mdc conduit à une injection de commande systÚme (OS Command Injection), ce qui permet à un attaquant d'exécuter des commandes non autorisées sur le systÚme.
- Origine de l'attaque : L'attaque peut ĂȘtre initiĂ©e Ă distance, ce qui augmente son risque.
- Divulgation : L'exploit a Ă©tĂ© rendu public, ce qui signifie qu'il pourrait ĂȘtre utilisĂ© par des attaquants.
- Identifiant de la vulnérabilité : Cette vulnérabilité a reçu l'identifiant VDB-260573.
Acronymes :
- RCE : Remote Code Execution (Exécution de code à distance)
- SSRF : Server-Side Request Forgery (Usurpation de requĂȘte cĂŽtĂ© serveur)
- XSS : Cross-Site Scripting (Script intersites)
Il est fortement recommandé de mettre à jour ces dispositifs pourmitiger ce risque.
Posts / Sources (605)
CVE-2025-0520
An unrestricted file upload vulnerability in ShowDoc caused by improper validation of file extension allows execution of arbitrary PHP, leading to remote code execution.This issue affects ShowDoc: before 2.8.7.
Une vulnérabilité de téléchargement de fichiers non restreint dans ShowDoc, causée par une validation incorrecte des extensions de fichiers, permet l'exécution de PHP arbitraire, menant ainsi à une exécution de code à distance (Remote Code Execution - RCE). Ce problÚme affecte ShowDoc dans les versions antérieures à 2.8.7.
Explications des termes :
- RCE (Remote Code Execution) : Une vulnérabilité qui permet à un attaquant d'exécuter du code malveillant sur un systÚme distant.
- ShowDoc : Un outil de documentation et de gestion de projets.
Détails de la vulnérabilité :
- Type de vulnérabilité : Téléchargement de fichiers non sécurisé.
- Cause : Validation inadéquate des extensions de fichiers lors du téléchargement.
- Impact : Possibilité pour un attaquant d'uploader et d'exécuter des scripts PHP, compromettant ainsi la sécurité du serveur.
Il est crucial de mettre à jour ShowDoc vers une version supérieure à 2.8.7 pour se prémunir contre cette vulnérabilité.
Posts / Sources (25)
CVE-2026-39808
A improper neutralization of special elements used in an os command ('os command injection') vulnerability in Fortinet FortiSandbox 4.4.0 through 4.4.8 may allow attacker to execute unauthorized code or commands via <insert attack vector here>
Une vulnérabilité liée à une injection de commande du systÚme d'exploitation (en anglais, os command injection) a été identifiée dans Fortinet FortiSandbox, versions 4.4.0 à 4.4.8. Cette faiblesse permet à un attaquant d'exécuter des commandes ou du code non autorisé.
Détails de la vulnérabilité
- Produit affecté : Fortinet FortiSandbox
- Versions vulnérables : 4.4.0 à 4.4.8
- Type de vulnérabilité : Injection de commande du systÚme d'exploitation
Implications
- Exécution de code non autorisé : L'attaquant peut potentiellement exécuter des commandes systÚme non autorisées, ce qui pourrait compromettre la sécurité du systÚme.
MĂ©canisme d'attaque
- Un vecteur d'attaque pourrait ĂȘtre utilisĂ©, bien qu'il ne soit pas prĂ©cisĂ© ici.
Acronymes
- RCE : Remote Code Execution (Exécution de code à distance) - Une technique permettant à un attaquant d'exécuter des commandes sur un systÚme à distance.
- SSRF : Server-Side Request Forgery (Usurpation de requĂȘte cĂŽtĂ© serveur) - Une faiblesse oĂč un attaquant fait en sorte qu'un serveur exĂ©cute des requĂȘtes sur un autre service.
- XSS : Cross-Site Scripting (Script intersite) - Une vulnérabilité permettant l'injection de scripts malveillants dans des pages web vues par d'autres utilisateurs.
Conclusion
Il est crucial pour les utilisateurs de Fortinet FortiSandbox de mettre à jour vers une version sécurisée pour éviter cette vulnérabilité.
Posts / Sources (19)
CVE-2026-40175
Axios is a promise based HTTP client for the browser and Node.js. Prior to 1.15.0 and 0.3.1, the Axios library is vulnerable to a specific "Gadget" attack chain that allows Prototype Pollution in any third-party dependency to be escalated into Remote Code Execution (RCE) or Full Cloud Compromise (via AWS IMDSv2 bypass). This vulnerability is fixed in 1.15.0 and 0.3.1.
Axios est un client HTTP basé sur les promesses, utilisé dans les navigateurs et Node.js. Avant les versions 1.15.0 et 0.3.1, la bibliothÚque Axios était vulnérable à un type d'attaque spécifique appelé "Gadget" qui permettait la Pollution de Prototype.
Concepts clés :
- Prototype Pollution : Une vulnérabilité qui permet à un attaquant de modifier le prototype des objets JavaScript, ce qui peut entraßner un comportement inattendu des applications.
- RCE (Remote Code Execution) : Exécution de code à distance. Cela signifie que l'attaquant peut exécuter du code malveillant sur le serveur cible.
- Full Cloud Compromise : Prise de contrÎle total d'un environnement cloud, tel qu'AWS, grùce à une exploitation de vulnérabilités.
Cette vulnérabilité pouvait permettre d'escalader les attaques de Pollution de Prototype vers un RCE ou un compromis complet du cloud via un contournement d'AWS IMDSv2 (Instance Metadata Service version 2).
Ces failles ont été corrigées dans les versions 1.15.0 et 0.3.1 d'Axios. Il est vivement recommandé de mettre à jour vers ces versions pour garantir la sécurité de vos applications.
Posts / Sources (22)
CVE-2026-21643
An improper neutralization of special elements used in an sql command ('sql injection') vulnerability in Fortinet FortiClientEMS 7.4.4 may allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests.
Une vulnérabilité se présentant sous la forme d'une injection SQL a été découverte dans Fortinet FortiClientEMS 7.4.4. Cette vulnérabilité est due à une mauvaise neutralisation de certains éléments spéciaux utilisés dans une commande SQL.
Détails de la vulnérabilité :
- Type de vulnérabilité : Injection SQL
- Produit concerné : Fortinet FortiClientEMS version 7.4.4
- Impact : Un attaquant non authentifié peut exécuter un code ou des commandes non autorisées.
- MĂ©canisme : Cela se produit via des requĂȘtes HTTP spĂ©cifiquement conçues.
Explications des acronymes :
- SQL (Structured Query Language) : Langage utilisé pour gérer et manipuler des bases de données.
- Une injection SQL se produit lorsque des entrĂ©es non sĂ©curisĂ©es sont intĂ©grĂ©es dans une commande SQL, permettant Ă un attaquant d'interfĂ©rer avec les requĂȘtes effectuĂ©es sur la base de donnĂ©es.
Risque :
Cette vulnérabilité peut compromettre la sécurité des systÚmes utilisant cette version de FortiClientEMS, rendant possible des accÚs non autorisés aux données ou fonctionnalités. Il est donc crucial de mettre à jour vers une version corrigée pour atténuer ce risque.