Authentication Bypass

📰 Source : CybersecurityNews.com — Date de publication : 16 juin 2026 🔍 Contexte Horizon3.ai a découvert une vulnérabilité critique dans la plateforme SimpleHelp RMM (Remote Monitoring and Management) via son initiative de recherche autonome « Sua Sponte » utilisant l’analyse pilotée par IA. La faille est référencée CVE-2026-48558. ⚠️ Nature de la vulnérabilité La faille résulte d’une validation incorrecte des assertions du fournisseur d’identité lors du processus d’authentification OpenID Connect (OIDC), notamment dans les intégrations avec Azure Active Directory. Elle est exploitable lorsque : ...

🔍 Contexte Le 12 juin 2026, Horizon3.ai publie une divulgation technique concernant CVE-2026-48558, une vulnérabilité de contournement d’authentification affectant l’application de supervision et d’accès à distance SimpleHelp. La découverte a été réalisée par un pipeline de recherche autonome en vulnérabilités basé sur l’IA générative, baptisé “Sua Sponte”, développé en interne par Horizon3.ai. 🐛 Vulnérabilité La faille réside dans la manière dont SimpleHelp valide les assertions de l’Identity Provider (IdP) lors d’une authentification OpenID Connect (OIDC) (générique ou Azure AD). Dans les configurations vulnérables, un attaquant non authentifié peut créer et s’authentifier en tant que nouveau compte Technicien, contournant ainsi le MFA (l’attaquant peut auto-enregistrer sa propre méthode MFA lors de la première connexion). ...

🔍 Contexte Le 12 juin 2026, watchTowr Labs publie une analyse technique approfondie de CVE-2026-50751, une vulnérabilité de bypass d’authentification (CVSS 9.3) affectant les produits Check Point Remote Access VPN, Mobile Access et Spark Firewall. Check Point a publié des hotfixes le 8 juin 2026. La vulnérabilité est inscrite au CISA KEV et a été exploitée in the wild. 🎯 Produits affectés Les versions Gaia suivantes sont concernées : R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X, R82.10 Les versions en fin de support ne reçoivent aucun hotfix. ...

🗓️ Contexte Publié le 10 juin 2026 par Jorian Woltjer sur le blog d’Aikido Security, cet article révèle la découverte d’une vulnérabilité critique de contournement d’authentification dans le logiciel de forum open-source phpBB, découverte via l’outil de pentest automatisé Aikido Attack. 🔍 Nature de la vulnérabilité Type : Authentication Bypass (contournement d’authentification) Vecteur : Une seule requête HTTP non authentifiée suffit à obtenir une session valide en tant que n’importe quel utilisateur Versions affectées : phpBB ≤ 3.3.16 et 4.0.0-a2 Configuration requise : Configuration par défaut, aucune connaissance particulière nécessaire Exploitation de la liste des membres : publique par défaut, facilitant le ciblage 💥 Impact Compte standard : accès aux messages privés et à tout le contenu accessible Compte administrateur : accès complet en lecture, écriture et suppression sur l’ensemble du forum, usurpation d’identité, fuite de conversations privées RCE non possible : un second contrôle de mot de passe protège l’Admin Control Panel (ACP), limitant l’impact à la prise de contrôle de compte administrateur 📅 Timeline 2 juin 2026, 20h22 : Rapport soumis au programme VDP de phpBB sur HackerOne 2 juin 2026, 20h31 : Triage effectué par l’équipe phpBB (9 minutes) 6 juin 2026, 16h26 : Publication du patch dans la version 3.3.17 🛠️ Correctif Version corrigée : phpBB 3.3.17 (branche 3.x) ; aucune version 4.x sûre disponible à ce jour Changement mineur : le gestionnaire de redirection OAuth est désormais à /user/oauth/authenticate/... 📰 Type d’article Il s’agit d’un rapport de vulnérabilité publié par le chercheur ayant découvert la faille, visant à informer les administrateurs de l’existence du problème et de la disponibilité d’un correctif, tout en retenant les détails techniques pour laisser le temps aux instances de se mettre à jour. ...

🔍 Contexte Le 8 juin 2026, Check Point Research publie un avis de sécurité urgent sur son blog officiel concernant l’exploitation active de CVE-2026-50751, une vulnérabilité critique affectant ses solutions Remote Access VPN et Mobile Access configurées avec le protocole IKEv1 (déprécié). 🚨 Vulnérabilités identifiées Deux CVE sont documentées dans cet avis : CVE-2026-50751 (CVSS 9.3) : Bypass d’authentification exploitant une faille logique dans la validation des certificats IKEv1. Un attaquant peut établir une session VPN sans mot de passe valide. Exploitation active confirmée dans la nature. CVE-2026-50752 (CVSS 7.4) : Condition dans la logique de validation des certificats IKEv1 permettant une attaque man-in-the-middle sur les connexions VPN site-à-site. Aucune exploitation observée à ce jour. Découverte via la plateforme interne BLAST (agentic AI code security). Produits affectés : SSL VPN / Remote Access VPN, Mobile Access, Security Gateways, Spark Firewall ...

🔍 Contexte Source : CrowdSec Tracker (https://tracker.crowdsec.net/cves/CVE-2026-8181), publié le 8 juin 2026. La CVE a été initialement publiée sur le NVD le 14 mai 2026. 🐛 Vulnérabilité CVE-2026-8181 est une vulnérabilité critique d’authentification bypass (CVSS : 9.8) affectant le plugin Burst Statistics – Privacy-Friendly WordPress Analytics pour WordPress CMS, dans les versions 3.4.0 à 3.4.1.1. La faille réside dans une mauvaise gestion de la valeur de retour de la fonction is_mainwp_authenticated() lors de la validation des mots de passe d’application issus de l’en-tête Authorization. Un attaquant non authentifié, connaissant le nom d’utilisateur d’un administrateur, peut usurper son identité en fournissant n’importe quel mot de passe en Basic Authentication, aboutissant à une élévation de privilèges. ...

🔍 Contexte Source : BleepingComputer, publié le 30 mai 2026. Palo Alto Networks a mis à jour son advisory pour signaler l’exploitation active de CVE-2026-0257, une vulnérabilité de contournement d’authentification affectant PAN-OS GlobalProtect (portail et passerelle VPN). 🐛 Vulnérabilité CVE-2026-0257 : contournement des restrictions de sécurité permettant d’établir des connexions VPN non autorisées Sévérité initialement Medium, rehaussée à High suite à l’exploitation active Condition d’exploitation : dispositifs configurés avec les authentication override cookies activés et une configuration de certificat spécifique La faille réside dans la validation des cookies d’override : PAN-OS déchiffre ces cookies avec une clé privée configurée et fait confiance au contenu déchiffré sans vérification de signature Si le même certificat est réutilisé pour les services HTTPS et les cookies d’override, un attaquant peut récupérer la clé publique via la session HTTPS et forger des cookies valides 📅 Chronologie des attaques 17 mai 2026 : première exploitation observée (selon Rapid7) 18 mai 2026 : première vague détectée depuis une infrastructure hébergée par Vultr 21 mai 2026 : deuxième vague détectée, originaire de Dromatics Systems 29 mai 2026 : ajout au catalogue CISA KEV 1er juin 2026 : date limite imposée aux agences fédérales américaines pour mitiger la faille 🎯 Méthode d’attaque Authentification aux passerelles GlobalProtect via des cookies d’override forgés ciblant le compte administrateur local Dans certains cas, connexion VPN établie avec succès, donnant accès aux réseaux internes Dans d’autres cas, le cookie forgé est accepté mais la session VPN complète ne peut être établie Aucun mouvement latéral observé par Rapid7 depuis les dispositifs compromis Rapid7 a développé un proof-of-concept démontrant la récupération des certificats publics, la génération de cookies forgés et l’authentification sans credentials valides 🏢 Impact Exploitation confirmée contre de nombreux clients de Rapid7 MDR Cible : réseaux d’entreprise utilisant GlobalProtect VPN non patché 📄 Type d’article Alerte de sécurité combinant un rapport d’exploitation active. But principal : informer les organisations de l’exploitation en cours de CVE-2026-0257 et documenter les conditions techniques de la vulnérabilité. ...

🔍 Contexte Source : BleepingComputer, publié le 30 mai 2026 par Lawrence Abrams. Palo Alto Networks a mis à jour son advisory pour confirmer l’exploitation active de CVE-2026-0257, une vulnérabilité de contournement d’authentification affectant le composant GlobalProtect (portal et gateway) de PAN-OS. 🛡️ Description de la vulnérabilité La faille réside dans la validation des cookies d’authentification override par PAN-OS. Le mécanisme défaillant est le suivant : Le dispositif déchiffre les cookies d’override avec une clé privée configurée Il fait confiance au contenu déchiffré sans vérification de signature Si le même certificat est réutilisé pour les services HTTPS et les cookies d’override, un attaquant peut récupérer la clé publique via la session HTTPS Il peut alors forger des cookies d’authentification valides pour n’importe quel utilisateur, sans connaître les identifiants Conditions requises : authentication override cookies activés + configuration de certificat spécifique. ...

🔍 Contexte Le 22 mai 2026, X41 D-Sec GmbH publie l’advisory X41-2026-002 concernant une vulnérabilité de sévérité haute (CVSS 4.0 : 7.0) affectant le framework Python Starlette, découverte lors d’un audit de code source sans rapport direct le 27 janvier 2026. 🐛 Vulnérabilité Starlette reconstruit l’URL cliente à partir du header HTTP Host et du chemin de la requête selon le schéma f"{scheme}://{host_header}{path}", sans valider le contenu du header Host conformément à la RFC 9112 Section 3.2. ...

🗓️ Contexte Source : The Register — Publié le 15 mai 2026. Cisco a publié un avis de sécurité d’urgence concernant une vulnérabilité de sévérité maximale affectant ses produits Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage). 🔴 Vulnérabilité CVE-2026-20182 — Score CVSS : 10.0 (critique) Affecte tous les types de déploiement des deux composants Cause : mécanisme d’authentification par peering défaillant Permet à un attaquant non authentifié à distance de contourner l’authentification et d’obtenir des privilèges administrateur sur le système affecté Une fois authentifié, l’attaquant peut émettre des commandes NETCONF arbitraires, permettant : vol de données, interception de trafic, manipulation des règles de pare-feu, mise hors service du réseau 🕵️ Découverte et exploitation Vulnérabilité découverte par Stephen Fewer et Jonah Burgess de Rapid7, signalée début mars 2026 Cisco a confirmé en mai 2026 que CVE-2026-20182 avait été exploitée en zero-day Aucune attribution de l’activité d’exploitation n’a été communiquée Aucune exploitation dans le cadre d’attaques ransomware n’a été signalée La découverte fait suite à l’investigation d’un précédent zero-day : CVE-2026-20127 (CVSS 10.0, février 2026), également un contournement d’authentification dans Cisco Catalyst SD-WAN Controller 🏛️ Réponse institutionnelle La CISA a ajouté CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities (KEV) Les agences fédérales civiles (FCEB) ont 3 jours pour appliquer les correctifs — délai exceptionnellement court Cisco indique qu’aucun contournement (workaround) n’est disponible et recommande fortement l’application des correctifs 🔍 Indicateurs de compromission Cisco recommande d’auditer le fichier /var/log/auth.log pour détecter des entrées du type : ...