Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée.
Période analysée : 2026-05-17 → 2026-05-24.
Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation.
📌 Légende :
- CVSS : score officiel de sévérité technique.
- EPSS : probabilité d’exploitation observée.
- VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité.
- CISA KEV : vulnérabilité activement exploitée selon la CISA.
- seen / exploited : signaux observés dans les sources publiques.
CVE-2026-42945
NGINX Plus and NGINX Open Source have a vulnerability in the ngx_http_rewrite_module module. This vulnerability exists when the rewrite directive is followed by a rewrite, if, or set directive and an unnamed Perl-Compatible Regular Expression (PCRE) capture (for example, $1, $2) with a replacement string that includes a question mark (?). An unauthenticated attacker along with conditions beyond its control can exploit this vulnerability by sending crafted HTTP requests. This may cause a heap buffer overflow in the NGINX worker process leading to a restart. Additionally, attackers can execute code on systems with Address Space Layout Randomization (ASLR) disabled or when the attacker can bypass ASLR. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
Vulnérabilité NGINX
NGINX Plus et NGINX Open Source présentent une vulnérabilité dans le module ngx_http_rewrite_module. Voici les détails :
- Type de vulnérabilité :
-
Cette faille se produit lorsque la directive
rewriteest suivie par une autre directiverewrite,ifousetet utilise une capture de Perl-Compatible Regular Expression (PCRE) sans nom (par exemple,$1,$2) dans une chaîne de remplacement qui contient un point d'interrogation (?). -
Exploitation :
-
Un attaquant non authentifié, en fonction de conditions échappant à son contrôle, peut exploiter cette vulnérabilité en envoyant des requêtes HTTP malicieuses.
-
Conséquences :
- Cela peut entraîner un débordement de tampon dans le processus de travail NGINX, entraînant un redémarrage.
-
De plus, des attaquants peuvent exécuter du code sur des systèmes où le Address Space Layout Randomization (ASLR) est désactivé ou lorsqu'ils parviennent à contourner ASLR.
-
Remarque : Les versions logicielles ayant atteint la Fin de Support Technique (EoTS) ne sont pas évaluées.
Assurez-vous de mettre à jour vos installations NGINX pour éviter cette vulnérabilité.
Posts / Sources (163)
CVE-2026-46333
In the Linux kernel, the following vulnerability has been resolved: ptrace: slightly saner 'get_dumpable()' logic The 'dumpability' of a task is fundamentally about the memory image of the task - the concept comes from whether it can core dump or not - and makes no sense when you don't have an associated mm. And almost all users do in fact use it only for the case where the task has a mm pointer. But we have one odd special case: ptrace_may_access() uses 'dumpable' to check various other things entirely independently of the MM (typically explicitly using flags like PTRACE_MODE_READ_FSCREDS). Including for threads that no longer have a VM (and maybe never did, like most kernel threads). It's not what this flag was designed for, but it is what it is. The ptrace code does check that the uid/gid matches, so you do have to be uid-0 to see kernel thread details, but this means that the traditional "drop capabilities" model doesn't make any difference for this all. Make it all make a *bit* more sense by saying that if you don't have a MM pointer, we'll use a cached "last dumpability" flag if the thread ever had a MM (it will be zero for kernel threads since it is never set), and require a proper CAP_SYS_PTRACE capability to override.
Dans le noyau Linux, une vulnérabilité a été corrigée : ptrace : logique de 'get_dumpable()' légèrement plus sécurisée. Voici les détails :
- Dumpability d'une tâche : Cela concerne l'image mémoire de la tâche et détermine si un core dump peut être réalisé. Ce concept devient incompréhensible lorsqu'il n'y a pas d'association avec un gestionnaire de mémoire (mm).
- Dans la plupart des cas, on n'utilise cette fonctionnalité que lorsque la tâche possède un pointeur mm, mais il existe une exception : ptrace_may_access() utilise le statut 'dumpable' pour vérifier divers éléments indépendamment du mm.
- Cette vérification s’applique même aux threads qui n'ont plus de gestionnaire de mémoire (comme la plupart des threads du noyau).
- La vérification s'assure également que l'uid/gid correspondent, ce qui signifie qu'il faut être uid-0 (administrateur) pour voir les détails des threads du noyau.
- Pour améliorer la logique, s'il n'y a pas de pointeur mm, on utilise un drapeau "dernière dumpabilité" mis en cache si le thread en a déjà eu un, qui sera à zéro pour les threads du noyau (puisqu'il n'est jamais défini).
- Une capacité appropriée, CAP_SYS_PTRACE, est requise pour passer outre cette restriction.
Cette mise à jour vise à renforcer la sécurité tout en clarifiant la gestion des accès aux threads dans le noyau.
Posts / Sources (76)
CVE-2026-9082
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Drupal Drupal core allows SQL Injection. This issue affects Drupal core: from 8.9.0 before 10.4.10, from 10.5.0 before 10.5.10, from 10.6.0 before 10.6.9, from 11.0.0 before 11.1.10, from 11.2.0 before 11.2.12, from 11.3.0 before 11.3.10.
Vulnérabilité SQL Injection dans Drupal
Une vulnérabilité de Neutralisation Inappropriée d'Éléments Spéciaux dans un Commande SQL (appelée 'Injection SQL') affecte le cœur de Drupal. Cette vulnérabilité permet des injections SQL, ce qui signifie qu'un attaquant peut manipuler des requêtes SQL pour accéder ou modifier des données de manière non autorisée.
Détails sur l'Impact
Cette vulnérabilité touche les versions suivantes de Drupal core : - 8.9.0 avant 10.4.10 - 10.5.0 avant 10.5.10 - 10.6.0 avant 10.6.9 - 11.0.0 avant 11.1.10 - 11.2.0 avant 11.2.12 - 11.3.0 avant 11.3.10
Points à Retenir
- Injection SQL : Technique d'attaque où des requêtes SQL malveillantes sont insérées dans une entrée.
- Risques : Accès non autorisé à des informations sensibles, altération ou suppression de données.
Il est fortement recommandé de mettre à jour votre version de Drupal pour corriger cette vulnérabilité et protéger vos systèmes.
Posts / Sources (50)
CVE-2026-45585
Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as "YellowKey". The proof of concept for this vulnerability has been made public violating coordinated vulnerability best practices. We are issuing this CVE to provide mitigation guidance that can be implemented to protect against this vulnerability until the security update is made available. Mitigation FAQs Should I leverage the temporary mitigation? Microsoft recommends that you consider implementing these mitigations if you are concerned your devices and data are at risk of being compromised or stolen. For example, if your organization’s employees take their work devices home or on business travel. What impact to service availability/management could be caused by implementing the mitigations? Implementing these mitigations will not impact service availability or management operations. Do customers need to revert the changes made to mitigate the vulnerability once the security update to protect against this vulnerability is available? No. The security update will maintain the mitigation's behavior once the security update is installed. I am using TPM+PIN, am I at risk of this vulnerability being exploited No, if you are using TPM+PIN the vulnerability is not exploitable.
Vulnérabilité de contournement de fonctionnalités de sécurité dans Windows ("YellowKey")
Microsoft a identifié une vulnérabilité de contournement de fonctionnalités de sécurité dans Windows, connue sous le nom de "YellowKey". Le proof of concept (preuve de concept) de cette vulnérabilité a été rendu public, ce qui contrevient aux bonnes pratiques de divulgation des vulnérabilités. Nous publions ce CVE (Common Vulnerabilities and Exposures) pour fournir des conseils de mitigation à appliquer afin de se protéger contre cette vulnérabilité en attendant la mise à jour de sécurité.
FAQ sur la mitigation
-
Dois-je utiliser la mitigation temporaire ?
Microsoft recommande de considérer ces mitigations si vous craignez que vos appareils et vos données soient à risque de compromission ou de vol, par exemple si des employés utilisent leurs appareils de travail à domicile ou en voyage d'affaires. -
Quel impact sur la disponibilité des services pourrais-je subir en appliquant les mitigations ?
L'application de ces mitigations n'affectera pas la disponibilité des services ou les opérations de gestion. -
Dois-je annuler les changements de mitigation une fois la mise à jour de sécurité disponible ?
Non, la mise à jour de sécurité conservera le comportement des mitigations une fois installée. -
Utilisant TPM+PIN, suis-je à risque d'exploitation de cette vulnérabilité ?
Non, si vous utilisez TPM (Trusted Platform Module) avec un PIN, la vulnérabilité n'est pas exploitable.
Posts / Sources (47)
CVE-2026-41091
Improper link resolution before file access ('link following') in Microsoft Defender allows an authorized attacker to elevate privileges locally.
Résumé de la Vulnérabilité
- CVE : Non spécifié dans le texte, mais il s'agit d'une référence unique pour une vulnérabilité.
- Produit concerné : Microsoft Defender
Description de la Vulnérabilité
Un problème de résolution inappropriée de liens avant l'accès aux fichiers (également appelé 'link following') permet à un attaquant autorisé d'élever ses privilèges localement sur le système.
Détails Techniques
- Élévation de privilèges : Cela signifie qu'un utilisateur ayant des droits normaux peut obtenir des permissions plus élevées, ce qui lui permet d'effectuer des actions non autorisées sur le système.
- Atteinte locale : L'attaquant doit avoir un accès physique ou déjà être connecté sur le réseau pour exploiter cette vulnérabilité.
Conclusion
Cette vulnérabilité dans Microsoft Defender met en évidence la nécessité de corriger les problèmes de traitement des liens avant d'accéder aux fichiers, afin de prévenir toute élévation de privilèges malveillante par des utilisateurs ayant des autorisations d'accès.
Posts / Sources (38)
CVE-2026-45498
Microsoft Defender Denial of Service Vulnerability
Vulnérabilité de Déni de Service dans Microsoft Defender
Une nouvelle vulnérabilité a été identifiée dans Microsoft Defender, qui pourrait permettre un déni de service (DoS). Cela signifie que des attaquants pourraient rendre le service indisponible.
Détails de la vulnérabilité :
- CVE : Identifiant utilisé pour référencer cette vulnérabilité.
- Impact : En exploitant cette vulnérabilité, les utilisateurs peuvent rencontrer des interruptions de service, ce qui pourrait affecter la sécurité des systèmes protégés par Microsoft Defender.
Qu'est-ce que le Déni de Service (DoS) ?
- Un déni de service est une attaque qui vise à rendre un service ou un site Web indisponible. Cela se fait généralement en submergeant le service de requêtes, provoquant des ralentissements ou des arrêts.
Recommandations :
- Mise à jour : Il est important de mettre à jour Microsoft Defender pour éviter l'exploitation de cette vulnérabilité.
- Surveillance : Restez vigilant quant aux comportements inhabituels sur vos systèmes, afin d'identifier rapidement toute tentative d'attaque.
Conclusion
Assurez-vous que votre installation de Microsoft Defender est à jour pour vous protéger contre cette vulnérabilité de déni de service et maintenir la sécurité de votre environnement.
Posts / Sources (37)
CVE-2026-31431
In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly.
Dans le noyau Linux, la vulnérabilité suivante a été résolue :
- Produit concerné : Noyau Linux
- Type de vulnérabilité : Problème dans le module
crypto: algif_aead
Détails de la résolution :
- La solution consiste à revenir à un fonctionnement hors place. Cela signifie que les données sont traitées dans un emplacement différent de leur emplacement d'origine.
- La majorité des modifications reviendront à l'état antérieur correspondant au commit 72548b093ee3, à l'exception de la copie des données associées (AD - Associated Data).
- Pourquoi cette approche ? Il n'y a pas d'avantage à opérer « in-place » dans
algif_aead, car la source et la destination proviennent de mappages différents en mémoire. - La résolution vise à simplifier le code en éliminant toute la complexité ajoutée pour le fonctionnement « in-place » et en se contentant de copier les données associées directement.
Termes techniques :
- In-place : Traitement des données à leur emplacement d'origine.
- Hors place : Traitement des données à un emplacement différent de l'original, souvent plus sûr et plus simple.
Posts / Sources (815)
CVE-2026-42897
Improper neutralization of input during web page generation ('cross-site scripting') in Microsoft Exchange Server allows an unauthorized attacker to perform spoofing over a network.
Une neutralisation incorrecte des entrées lors de la génération de pages web (appelée cross-site scripting ou XSS) dans Microsoft Exchange Server permet à un attaquant non autorisé de réaliser des actes de spoofing sur un réseau.
Explications :
-
Cross-site scripting (XSS) : Il s'agit d'une vulnérabilité de sécurité qui permet à un attaquant d'injecter des scripts malveillants dans des pages web, que d'autres utilisateurs peuvent visualiser. Cela peut compromettre la sécurité des données et des sessions utilisateur.
-
Spoofing : C'est une technique où un attaquant se fait passer pour un autre utilisateur, service ou appareil afin d'obtenir des informations sensibles ou de manipuler des sessions.
Implications :
- Les attaquants peuvent exploiter cette vulnérabilité pour insérer des scripts malveillants et potentiellement prendre le contrôle des données de l'utilisateur ou modifier le comportement de l'application.
- Il est crucial de sécuriser les applications web contre ce type de vulnérabilités pour protéger la confidentialité et l'intégrité des utilisateurs.
Réponse :
Les administrateurs de Microsoft Exchange Server doivent garantir que toutes les entrées utilisateur sont correctement filtrées et validées pour prévenir les attaques XSS.
Posts / Sources (85)
CVE-2026-31635
In the Linux kernel, the following vulnerability has been resolved: rxrpc: fix oversized RESPONSE authenticator length check rxgk_verify_response() decodes auth_len from the packet and is supposed to verify that it fits in the remaining bytes. The existing check is inverted, so oversized RESPONSE authenticators are accepted and passed to rxgk_decrypt_skb(), which can later reach skb_to_sgvec() with an impossible length and hit BUG_ON(len). Decoded from the original latest-net reproduction logs with scripts/decode_stacktrace.sh: RIP: __skb_to_sgvec() [net/core/skbuff.c:5285 (discriminator 1)] Call Trace: skb_to_sgvec() [net/core/skbuff.c:5305] rxgk_decrypt_skb() [net/rxrpc/rxgk_common.h:81] rxgk_verify_response() [net/rxrpc/rxgk.c:1268] rxrpc_process_connection() [net/rxrpc/conn_event.c:266 net/rxrpc/conn_event.c:364 net/rxrpc/conn_event.c:386] process_one_work() [kernel/workqueue.c:3281] worker_thread() [kernel/workqueue.c:3353 kernel/workqueue.c:3440] kthread() [kernel/kthread.c:436] ret_from_fork() [arch/x86/kernel/process.c:164] Reject authenticator lengths that exceed the remaining packet payload.
Dans le noyau Linux, une vulnérabilité a été corrigée : rxrpc : correction de la vérification de la longueur de l'authentificateur de la réponse. La fonction rxgk_verify_response() décode la longueur de l'authentificateur (auth_len) depuis un paquet et doit vérifier qu'elle correspond aux octets restants. Cependant, la vérification existante était inversée, ce qui permettait d'accepter des authentificateurs de réponse de taille excessive et de les passer à rxgk_decrypt_skb(). Cela pouvait ensuite atteindre skb_to_sgvec() avec une longueur impossible, déclenchant un BUG_ON(len).
Voici le processus de la fonction, illustré par la trace d'appel :
- __skb_to_sgvec() (fichier : net/core/skbuff.c, ligne 5285)
- skb_to_sgvec() (ligne 5305)
- rxgk_decrypt_skb() (net/rxrpc/rxgk_common.h, ligne 81)
- rxgk_verify_response() (net/rxrpc/rxgk.c, ligne 1268)
- rxrpc_process_connection() (net/rxrpc/conn_event.c, plusieurs lignes)
Il est crucial de rejeter les longueurs d'authentificateur qui dépassent le contenu restant du paquet pour prévenir des exploitations potentielles.
Notes sur les acronymes : - RCE : Remote Code Execution (exécution de code à distance) - SSRF : Server-Side Request Forgery (faux requêtes côté serveur) - XSS : Cross-Site Scripting (injection de scripts entre sites)
Posts / Sources (29)
CVE-2026-20223
A vulnerability in the access validation of internal REST APIs of Cisco Secure Workload could allow an unauthenticated, remote attacker to access site resources with the privileges of the Site Admin role. This vulnerability is due to insufficient validation and authentication when accessing REST API endpoints. An attacker could exploit this vulnerability if they are able to send a crafted API request to an affected endpoint. A successful exploit could allow the attacker to read sensitive information and make configuration changes across tenant boundaries with the privileges of the Site Admin user.
Résumé de la vulnérabilité
- Produit concerné : Cisco Secure Workload
- Type de vulnérabilité : Failles d'authentification dans les API REST internes
- CVE : Non précisé
Détails de la vulnérabilité
- Une vulnérabilité dans la validation des accès permet à un attaquant non authentifié et à distance d’accéder aux ressources du site avec les privileges du rôle Site Admin.
- Cause : Insuffisance de validation et d'authentification lors de l'accès aux endpoints des API REST.
- Exploitation : Un attaquant peut tirer parti de cette vulnérabilité en envoyant une requête API spécialement conçue à un endpoint vulnérable.
Conséquences potentielles
- L'attaquant peut lire des informations sensibles.
- L'attaquant peut effectuer des modifications de configuration sur plusieurs locataires, en agissant avec les privileges d'un utilisateur administrateur du site.
Acronymes
- API : Interface de programmation d'application permettant à des applications de communiquer entre elles.
- REST : Un style architectural pour concevoir des services web.
- RCE : Exécution de code à distance (Remote Code Execution).
- SSRF : Vulnérabilité de contournement du serveur (Server-Side Request Forgery).
- XSS : Script intersite (Cross-Site Scripting), une faille de sécurité dans les sites web.
Posts / Sources (25)
CVE-2026-20182
May 2026: This security advisory provides the details and fix information for a vulnerability that was discovered and fixed after the was disclosed in February 2026. This new advisory is for a new vulnerability in the control connection handshaking. The section of this advisory includes Show Control Connections guidance to help with system checks. A vulnerability in the peering authentication in Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated, remote attacker to bypass authentication and obtain administrative privileges on an affected system. This vulnerability exists because the peering authentication mechanism in an affected system is not working properly. An attacker could exploit this vulnerability by sending crafted requests to the affected system. A successful exploit could allow the attacker to log in to an affected Cisco Catalyst SD-WAN Controller as an internal, high-privileged, non-root user account. Using this account, the attacker could access NETCONF, which would then allow the attacker to manipulate network configuration for the SD-WAN fabric.
Avis de sécurité - Mai 2026
Cet avis de sécurité décrit des détails et des informations de correction concernant une vulnérabilité découverte et corrigée après avoir été divulguée en février 2026. Voici les points clés :
- Vulnérabilité : Une nouvelle vulnérabilité a été identifiée dans le mécanisme d'établissement de connexion de contrôle.
- Produits concernés : Cisco Catalyst SD-WAN Controller (anciennement SD-WAN vSmart) et Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage).
- Risques : Cette vulnérabilité permettrait à un attaquant distant et non authentifié de contourner l'authentification et d'obtenir des privilèges administratifs sur un système affecté.
Mécanisme de vulnérabilité
- Problème : Le mécanisme d'authentification entre pairs ne fonctionne pas correctement, ce qui permet à un attaquant d'exploiter cette faille.
- Exploitation : L'attaquant peut envoyer des requêtes spéciales à un système vulnérable.
Conséquences
- Si l'attaque réussit, l'attaquant pourrait se connecter au Cisco Catalyst SD-WAN Controller avec un compte utilisateur interne à privilèges élevés (mais non root).
- Avec ce compte, l'attaquant pourrait accéder à NETCONF, lui permettant de manipuler la configuration du réseau pour l'infrastructure SD-WAN.
Actions recommandées
Consultez les directives de Show Control Connections pour vérifier l'état du système et prendre des mesures correctives.
Posts / Sources (79)
CVE-2026-34926
A directory traversal vulnerability in the Apex One (on-premise) server could allow a pre-authenticated local attacker to modify a key table on the server to inject malicious code to deploy to agents on affected installations. This vulnerability is only exploitable on the on-premise version of Apex One and a potential attacker must have access to the Apex One Server and already obtained administrative credentials to the server via some other method to exploit this vulnerability.
Vulnérabilité de Traversée de Répertoire dans Apex One
Une vulnérabilité de traversée de répertoire a été identifiée dans le serveur Apex One (version sur site). Voici les points clés à retenir :
- Impact : Un attaquant local, pré-authentifié, peut modifier une table clé sur le serveur pour injecter du code malveillant.
- Conséquences : Ce code peut ensuite être déployé sur les agents installés sur les systèmes affectés.
- Conditions : Cette vulnérabilité n'est exploitable que sur la version sur site de Apex One.
- Accès requis : Un attaquant doit avoir accès au serveur Apex One et disposer déjà de crédentials administratives pour exploiter cette vulnérabilité.
Acronymes
- RCE : Remote Code Execution (Exécution de code à distance).
- SSRF : Server-Side Request Forgery (Contrefaçon de requête côté serveur).
- XSS : Cross-Site Scripting (Script inter-sites), qui permet l'injection de scripts dans les pages web.
En résumé, une vulnérabilité sérieuse peut être exploitée par des attaquants ayant déjà un accès administratif, rendant la sécurité des accès cruciale.