RCE

🔍 Contexte : Le 18 juin 2026, l’équipe Microsoft Defender Security Research publie une analyse technique détaillant une chaîne d’exploitation baptisée AutoJack, découverte dans AutoGen Studio, l’interface de prototypage open-source du framework multi-agents AutoGen de Microsoft Research. ⚙️ Mécanisme d’attaque : La chaîne combine trois faiblesses indépendantes dans la surface MCP WebSocket d’AutoGen Studio : Issue 1 (CWE-1385) : La liste blanche d’origines (http://127.0.0.1, http://localhost) bloque les navigateurs externes mais pas un agent de navigation headless tournant sur la même machine, dont le JavaScript hérite de l’identité localhost. Issue 2 (CWE-306) : Le middleware d’authentification exclut explicitement les chemins /api/mcp/* et /api/ws/*, sans que le handler WebSocket MCP n’implémente sa propre vérification. Résultat : le WebSocket MCP est accessible sans authentification quelle que soit la configuration auth. Issue 3 (CWE-78) : Le paramètre server_params passé en query string est décodé en base64, parsé en StdioServerParams, et transmis directement à stdio_client() sans liste blanche des exécutables autorisés, permettant de spawner calc.exe, powershell.exe -enc ... ou bash -c '...'. 🎯 Scénario d’exploitation : Un attaquant héberge une page web contenant un script JavaScript qui ouvre une connexion WebSocket vers ws://localhost:8081/api/mcp/ws/<session_id>?server_params=<base64(json)>. Lorsqu’un agent AutoGen équipé de capacités de navigation (ex: MultimodalWebSurfer) visite cette page, le script s’exécute avec l’identité localhost, contourne l’auth, et AutoGen Studio spawne la commande arbitraire sous le compte du développeur. Aucune interaction utilisateur supplémentaire n’est requise au-delà de faire visiter la page à l’agent. ...

🔍 Contexte Publié le 23 juin 2026 par l’équipe technique de SSD Secure Disclosure, cet article présente une analyse technique complète d’une vulnérabilité critique affectant Cisco Unified Communications Manager (CUCM) version 15.0.1.13901-2, découverte par un chercheur indépendant. 🎯 Nature de la vulnérabilité La vulnérabilité CVE-2026-20230 est une chaîne d’exploitation combinant plusieurs failles : Un endpoint non authentifié /installClusterStatusExecute exposé via le servlet ClusterInstallStatusServlet dans web.xml Une SSRF (Server-Side Request Forgery) exploitable via des requêtes HTTPS, contournant la validation d’hôte grâce à l’obtention du vrai hostname via /webdialer/Version.jws?wsdl Une écriture de fichier arbitraire inspirée de la vulnérabilité historique CVE-2019-0227 (Axis 1.4), permettant de déposer un fichier WSDD malveillant ⚙️ Chaîne d’exploitation Reconnaissance : récupération du hostname réel via https://<cible>/webdialer/Version.jws?wsdl SSRF + écriture de fichier : envoi d’une requête GET vers /cmplatform/installClusterStatusExecute avec un payload encodé créant un nouveau service Axis (randomR11) via un descripteur WSDD Déploiement d’un premier webshell (aaa.jsp) via le service randomR11 pour écrire des fichiers arbitraires Déploiement d’un webshell final (c.jsp) permettant l’exécution de commandes système arbitraires Exécution de commandes via https://<cible>/platform-services/axis2-web/c.jsp?pwd=123&i=id 🛠️ Composants techniques impliqués Fichier de configuration : \jakarta-tomcat\webapps\cmplatform\WEB-INF\web.xml Classe vulnérable : com.cisco.ccm.cmplatform.servlets.ClusterInstallStatusServlet Filtre de sécurité contourné : com.cisco.ccm.common.security.InjectionFilter Mécanisme d’exploitation : Apache Axis LogHandler pour écriture de fichiers Webshells déposés : aaa.jsp, c.jsp 🩹 Correctif Cisco a publié un correctif disponible via l’advisory officiel cisco-sa-cucm-ssrf-cXPnHcW. ...

🔍 Contexte Publié le 17 juin 2026 par Ax Sharma (Head of Research, Manifold Security), cet article de recherche documente deux chemins d’exécution de code locale à haute sévérité dans Cline, l’extension VS Code d’agent de codage IA comptant environ 4,2 millions d’installations sur le VS Code Marketplace et OpenVSX. 🎯 Scénario d’attaque L’attaque cible un workflow développeur courant : cloner un dépôt inconnu et demander à Cline de le configurer. Le contenu du dépôt (README malveillant ou autre contenu lu par l’agent) manipule l’agent pour exécuter des commandes shell arbitraires sous le compte du développeur. L’impact potentiel inclut l’accès aux clés SSH, credentials AWS/GCP, cookies de navigateur, code source et tout ce que le développeur peut atteindre via VPN. Il s’agit d’un pattern confused-deputy dans l’IA agentique. ...

📅 Source : BleepingComputer — Date : 9 juin 2026 Microsoft a publié son Patch Tuesday de juin 2026, corrigeant 200 vulnérabilités dont 6 zero-days sur l’ensemble de son écosystème logiciel. Ce bulletin massif couvre des dizaines de composants Windows, des produits cloud Azure, des applications Office, Exchange Server, Visual Studio Code et bien d’autres. 🔴 Vulnérabilités critiques notables CVE-2026-45648 — Windows Active Directory Domain Services Remote Code Execution (Critical) CVE-2026-45476 — Microsoft Azure Network Adapter (Linux MANA Driver) Elevation of Privilege (Critical) CVE-2026-33828 — Windows Device Health Attestation Elevation of Privilege (Critical) CVE-2026-32193 — Azure Kubernetes Service Remote Code Execution (Critical) CVE-2026-45463 / CVE-2026-45474 / CVE-2026-45472 / CVE-2026-45458 / CVE-2026-47635 / CVE-2026-45456 / CVE-2026-45461 — Microsoft Office Remote Code Execution multiples (Critical) CVE-2026-42985 / CVE-2026-47289 / CVE-2026-47654 / CVE-2026-42992 / CVE-2026-44801 / CVE-2026-44799 / CVE-2026-48563 — Remote Desktop Client Remote Code Execution multiples (Critical) CVE-2026-47288 — Windows Kerberos KDC Remote Code Execution (Critical) CVE-2026-47291 — HTTP.sys Remote Code Execution (Critical) CVE-2026-45641 / CVE-2026-47652 / CVE-2026-45607 — Windows Hyper-V Remote Code Execution (Critical) CVE-2026-44812 / CVE-2026-44803 — Windows Graphics Component Remote Code Execution (Critical) CVE-2026-44815 — DHCP Client Service Remote Code Execution (Critical) CVE-2026-42987 — Windows Deployment Services Remote Code Execution (Critical) CVE-2026-44810 — Microsoft Cryptographic Services Elevation of Privilege (Critical) CVE-2026-45657 — Windows Kernel Remote Code Execution (Critical) CVE-2026-48574 — Windows Media Remote Code Execution (Critical) CVE-2025-10263 — ARM kernel vulnerability (Critical) CVE-2026-26142 — Nuance PowerScribe Remote Code Execution (Critical) 🟠 Composants les plus impactés Microsoft Office : ~15 CVE dont plusieurs RCE critiques (Outlook, Word, Excel, SharePoint) Remote Desktop Client : 11 CVE dont 7 critiques RCE Windows DWM Core Library : 11 CVE (EoP, Info Disclosure) Microsoft SharePoint : ~20 CVE (Spoofing, RCE) Windows Ancillary Function Driver for WinSock : 7 CVE EoP Windows Secure Boot : 8 CVE Security Feature Bypass Windows Push Notifications : 8 CVE (EoP, Info Disclosure) Azure Stack Edge : 2 CVE (RCE, Spoofing) Visual Studio Code : 6 CVE (EoP, Info Disclosure, Tampering, SFB) Exchange Server : 7 CVE (Spoofing, Info Disclosure, EoP, RCE) 📋 Types de vulnérabilités Remote Code Execution (RCE) : majoritaire, nombreuses failles critiques Elevation of Privilege (EoP) : très répandu sur les composants Windows Security Feature Bypass : BitLocker, Secure Boot, UEFI, MOTW Spoofing : Exchange, SharePoint, Bing, NTLM Information Disclosure : Office, RDP, Push Notifications Denial of Service : HTTP.sys, ASP.NET Core, Kerberos 📌 Type d’article : Patch de sécurité — bulletin mensuel Microsoft. But principal : documenter l’ensemble des correctifs publiés lors du Patch Tuesday de juin 2026 pour permettre aux équipes de sécurité de prioriser les mises à jour. ...

📰 Contexte Publié le 1er juin 2026 par BleepingComputer, cet article rapporte l’alerte émise par le Centre pour la Cybersécurité Belgique (CCB) concernant l’exploitation active dans la nature d’une vulnérabilité critique récemment corrigée dans Windows Netlogon. 🔍 Vulnérabilité CVE-2026-41089 CVE-2026-41089 est un stack-based buffer overflow dans le service Windows Netlogon (interface RPC utilisée pour l’authentification sur les réseaux de domaine Windows). Elle permet à un attaquant non authentifié d’obtenir une exécution de code à distance (RCE) sur des contrôleurs de domaine ciblés. ...

🗓️ Contexte Source : BleepingComputer, publié le 1er juin 2026. Le Centre pour la Cybersécurité Belgique (CCB), autorité nationale belge en cybersécurité, a émis une alerte le vendredi 30 mai 2026 signalant l’exploitation active dans la nature de la vulnérabilité CVE-2026-41089. 🔍 Détails de la vulnérabilité CVE : CVE-2026-41089 Composant affecté : Windows Netlogon (service RPC d’authentification des domaines Windows) Type : Stack-based buffer overflow permettant une exécution de code à distance (RCE) Prérequis : Aucun privilège requis, aucune authentification préalable nécessaire Vecteur : Envoi d’une requête réseau spécialement forgée vers un contrôleur de domaine Score CVSS 3.1 : 9.8 (Critique) Systèmes impactés : Toutes les versions de Windows Server actuellement supportées, y compris Windows Server 2025 Patch : Publié lors du Patch Tuesday de mai 2026 (12 mai 2026) Découvreur : Windows Attack Research & Protection (WARP), équipe interne Microsoft ⚠️ Exploitation active Le CCB a confirmé via un tweet que CVE-2026-41089 est activement exploité dans la nature. Aucun détail sur les attaquants, les victimes ou les méthodes d’exploitation n’a été fourni. Microsoft n’avait pas encore mis à jour son advisory au moment de la publication de l’article. ...

📰 Source : The Cyber Express | Date de publication : 29 mai 2026 | Date de divulgation des CVE : 26 mai 2026 Les développeurs de Notepad++ ont publié la version 8.9.6.1 pour corriger trois vulnérabilités de sécurité affectant toutes les versions jusqu’à 8.9.6. Les failles ont été divulguées le 26 mai 2026. 🔴 CVE-2026-48778 — RCE critique (CWE-78 : OS Command Injection) La vulnérabilité la plus sévère réside dans le traitement du fichier config.xml, spécifiquement le paramètre <GUIConfig name="commandLineInterpreter">. Ce paramètre est lu sans validation, sans vérification d’intégrité et sans restriction par liste blanche. Lorsqu’un utilisateur active la fonctionnalité “Open Containing Folder in cmd”, l’application utilise ce paramètre non sanitisé, permettant à un attaquant de substituer l’exécutable attendu par un programme arbitraire. Un proof-of-concept a démontré l’exécution de calc.exe à la place de l’invite de commandes. La faille présente une faible complexité d’attaque et ne nécessite pas de privilèges élevés. ...

🗓️ Contexte Source : BleepingComputer, publié le 21 mai 2026. La chercheuse en sécurité Lyra Rebane a découvert en 2022 une vulnérabilité dans Chromium permettant à du JavaScript de continuer à s’exécuter après la fermeture du navigateur via un Service Worker malveillant. La faille a été signalée et reconnue valide par Google en décembre 2022. 🔍 Nature de la vulnérabilité La faille repose sur la création d’une page web malveillante avec un Service Worker (ex : une tâche de téléchargement) qui ne se termine jamais. Cela permet à un attaquant d’exécuter du code JavaScript à distance sur l’appareil de tout visiteur, sans interaction utilisateur. ...

🔍 Contexte Fin 2025, Mandiant (Google Threat Intelligence Group) a répondu à un incident de sécurité impliquant un serveur web compromis exécutant KnowledgeDeliver, un système de gestion de l’apprentissage (LMS) développé par Digital Knowledge, largement utilisé au Japon. L’analyse a été publiée le 25 mai 2026. 🎯 Vulnérabilité exploitée La vulnérabilité, désormais suivie sous CVE-2026-5426, résulte de l’utilisation de valeurs machineKey ASP.NET identiques et codées en dur dans le fichier web.config fourni par le vendeur, partagées entre tous les déploiements clients. Cette configuration standardisée permettait à un acteur malveillant ayant obtenu les clés d’un déploiement de compromettre n’importe quelle instance KnowledgeDeliver exposée sur Internet. ...

🔍 Contexte Publié le 13 mai 2026 par Zhenpeng (Leo) Lin, chercheur chez DepthFirst AI, cet article présente les résultats d’une analyse autonome du code source de NGINX ayant conduit à la découverte de 4 vulnérabilités de corruption mémoire, dont une critique permettant une RCE non authentifiée. 🐛 Vulnérabilité principale : CVE-2026-42945 Type : Heap buffer overflow dans ngx_http_rewrite_module CVSS : 9.2 (Critique) Introduite en : 2008 (NGINX 0.6.27) Versions affectées : NGINX Open Source 0.6.27 à 1.30.0, NGINX Plus R32-R36, NGINX Instance Manager, F5 WAF, NGINX App Protect WAF, NGINX Gateway Fabric, NGINX Ingress Controller Condition de déclenchement : Utilisation conjointe des directives rewrite (avec ?) et set dans la configuration NGINX ⚙️ Cause racine Le moteur de script NGINX utilise un processus en deux passes (calcul de longueur puis copie). Le flag e->is_args est positionné à 1 lors du traitement d’une directive rewrite contenant un ?, mais n’est jamais réinitialisé. Lors de la passe de calcul de longueur pour une directive set suivante, un sous-moteur le initialisé à zéro ignore l’échappement URI. Lors de la passe de copie, le moteur principal avec is_args=1 applique ngx_escape_uri, expandant chaque caractère spécial de 1 à 3 octets, dépassant le buffer alloué. ...