📋 Contexte

Le 9 juin 2026 (mise à jour le 16 juin 2026), Dell Technologies a publié l’avis de sécurité DSA-2026-197 concernant une vulnérabilité affectant le BIOS de multiples plateformes client Dell. La source est le portail officiel de support Dell (knowledge base article 000453482).

🔍 Vulnérabilité identifiée

  • CVE : CVE-2026-40639
  • Type : Weak Encoding for Password (encodage faible des mots de passe)
  • Score CVSS 3.1 : 5.7 (Medium)
  • Vecteur CVSS : CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Impact : Un attaquant non authentifié disposant d’un accès physique à la machine peut potentiellement exploiter cette vulnérabilité pour réaliser une élévation de privilèges.

🖥️ Produits affectés (sélection)

  • Dell Edge Gateway 3000 / 5000
  • Dell Embedded PC 3000 / 5000
  • Dell Precision 3630 Tower, 3930 Rack, 5540
  • Latitude 3190, 3190 2-in-1, 3310, 3310 2-in-1
  • Latitude 7220 Rugged Extreme, Latitude Rugged 5420, 5424, 7220EX, 7424
  • OptiPlex 7070 UFF

🛠️ Versions corrigées

Chaque produit dispose d’une version BIOS corrigée disponible sur le site Drivers & Downloads de Dell, publiées entre le 04/06/2026 et le 16/06/2026.

👤 Remerciements

La vulnérabilité a été signalée par Darren McDonald (AmberWolf) et Craig S. Blackie (MDSec).

📌 Nature de l’article

Il s’agit d’un avis de sécurité officiel (patch de sécurité) publié par Dell Technologies, dont le but principal est d’informer les utilisateurs des plateformes concernées de la disponibilité de mises à jour BIOS corrigeant la vulnérabilité CVE-2026-40639.

🧠 TTPs et IOCs détectés

TTP

  • T0839 — Modify Software (Impair Process Control)
  • T1542.001 — Pre-OS Boot: System Firmware (Defense Evasion)

IOC

  • CVEs : CVE-2026-40639NVD · CIRCL

🔴 Indice de vérification factuelle : 29/100 (basse)

  • ⬜ dell.com — source non référencée (0pts)
  • ✅ 10516 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.dell.com/support/kbdoc/en-uk/000453482/dsa-2026-197-security-update-for-dell-client-platform-bios-for-a-weak-encoding-for-password-vulnerability