Authentication Bypass

🔍 Contexte Publié le 14 mai 2026 par l’équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l’exploitation active et continue de cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager, ainsi qu’une sixième vulnérabilité plus ancienne utilisée pour l’élévation de privilèges. 📅 Chronologie des divulgations 25 février 2026 : Cisco divulgue CVE-2026-20127 (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV. Mars 2026 : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122. Avril 2026 : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV. 14 mai 2026 : Cisco divulgue CVE-2026-20182 (CVSS 10.0, zero-day, authentication bypass). CISA émet la Directive d’urgence 26-03 et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au 17 mai 2026. 🛡️ Vulnérabilités impliquées CVE Description CVSS CVE-2026-20182 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20127 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20133 Information Disclosure (Manager) 7.5 CVE-2026-20128 Credential Access (Manager) 7.5 CVE-2026-20122 Arbitrary File Overwrite (Manager) 5.4 CVE-2022-20775 CLI Path Traversal / Privilege Escalation 7.8 🎯 Acteur principal : UAT-8616 UAT-8616, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN depuis au moins 2023. Son infrastructure présente des chevauchements avec des réseaux Operational Relay Box (ORB). Il cible des secteurs d’infrastructure critique. ...

🔍 Contexte Cet article est publié le 11 mai 2026 par CrowdSec sur sa plateforme VulnTracking. Il documente l’exploitation active et persistante de CVE-2025-20362, une vulnérabilité de contournement d’authentification affectant les équipements Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD). 🛠️ Description technique de la vulnérabilité CVE-2025-20362 résulte d’une validation incorrecte des entrées utilisateur dans les requêtes HTTP(S) traitées par le serveur web VPN. Elle permet à un attaquant distant non authentifié d’accéder à des endpoints VPN restreints sans credentials valides. ...

🗓️ Contexte Article publié le 3 mai 2026 sur webhosting.today par Łukasz Nowak. Il s’agit d’un suivi d’une couverture initiale du 29 avril 2026 portant sur la divulgation d’une vulnérabilité critique dans cPanel et WHM. L’article compile des données de Rapid7, Censys, GreyNoise, KnownHost et NocInit. 🔍 Vulnérabilité CVE-2026-41940 est classée CWE-306 (Missing Authentication for Critical Function). Le mécanisme technique repose sur une injection CRLF dans le processus de chargement et sauvegarde de sessions de cPanel, permettant à un attaquant non authentifié de manipuler les fichiers de session et d’injecter des privilèges root, contournant entièrement l’écran de connexion sur les interfaces cPanel et WHM. ...

🔍 Contexte Publié le 5 mai 2026 par BARGHEST sur leur blog, cet article constitue une divulgation coordonnée avec Google d’une vulnérabilité critique découverte dans le démon ADB (adbd) d’Android, identifiée sous CVE-2026-0073. 🐛 Vulnérabilité CVE-2026-0073 est un bypass d’authentification dans le chemin d’authentification ADB-over-TCP d’Android, plus précisément dans la fonction adbd_tls_verify_cert du fichier platform/packages/modules/adb/daemon/auth.cpp. La cause racine est une mauvaise utilisation de l’API EVP_PKEY_cmp de BoringSSL/OpenSSL : L’API retourne 1 (clés identiques), 0 (même type, clés différentes), -1 (types différents), -2 (opération non supportée) Le code vulnérable traite toute valeur non nulle comme un succès Un attaquant présentant un certificat TLS client avec une clé non-RSA (EC P-256 ou Ed25519) face à une clé stockée RSA provoque un retour de -1, interprété comme une authentification réussie if (EVP_PKEY_cmp(known_evp.get(), evp_pkey.get())) { verified = true; // -1 est truthy en C/C++ } ⚙️ Conditions d’exploitation Developer options activées ADB-over-TCP activé (Wireless debugging ou exposition du service adbd) Au moins une clé RSA précédemment appairée dans /data/misc/adb/adb_keys Accessibilité réseau au port TCP ADB (typiquement port 5555) 🔗 Chaîne d’exploitation L’exploitation nécessite trois étapes séquentielles : ...

🔍 Contexte Source : CrowdSec VulnTracking Report, publié le 20 avril 2026. Le réseau CrowdSec suit l’exploitation active de CVE-2026-21445, une vulnérabilité critique affectant Langflow, un outil open-source populaire (147 000 étoiles GitHub) pour la création et le déploiement d’agents IA et d’automatisation de workflows. 🐛 Vulnérabilité CVE-2026-21445 est un bypass d’authentification affectant plusieurs endpoints critiques de l’API Langflow. Des endpoints de monitoring étaient accessibles sans authentification, exposant : L’historique des conversations utilisateurs L’historique des transactions Les données de sessions de messages (supprimables sans autorisation) Les versions antérieures à 1.7.0.dev45 sont affectées. La version corrigée est 1.7.1. ...

Selon Shadowserver, un organisme de veille de la sécurité Internet, des attaques sont en cours exploitant une vulnérabilité critique de contournement d’authentification affectant le serveur telnetd de GNU InetUtils, tandis que près de 800 000 adresses IP présentant des empreintes Telnet sont suivies. Shadowserver indique suivre environ 800 000 IP avec des « empreintes Telnet » sur Internet. Des attaques actives exploitent une faille critique permettant de contourner l’authentification dans GNU InetUtils telnetd. Points clefs: ...