Vulnérabilités

📋 Contexte Le 10 juin 2026, la Cybersecurity and Infrastructure Security Agency (CISA) a publié la Binding Operational Directive 26-04 (BOD 26-04) intitulée Prioritizing Security Updates Based on Risk. Cette directive est contraignante pour l’ensemble des agences fédérales civiles américaines (Federal Civilian Executive Branch — FCEB). Elle est publiée sur le site officiel cisa.gov. 🎯 Objectif et portée La directive vise à moderniser la gestion des vulnérabilités au sein du gouvernement fédéral américain en priorisant la remédiation selon le niveau de risque réel plutôt qu’en traitant toutes les vulnérabilités de manière uniforme. Elle s’applique à tous les systèmes d’information fédéraux (Federal Information Systems), y compris ceux hébergés dans des environnements tiers (FedRAMP, cloud). ...

📰 Contexte Source : blog.sucuri.net — Publication du 1er juin 2026. Il s’agit du récapitulatif mensuel de Sucuri listant les vulnérabilités de sécurité découvertes et patchées dans l’écosystème WordPress (plugins et thèmes) au cours du mois de mai 2026. 🔴 Vulnérabilités critiques Trois vulnérabilités sont classées Critical : Advanced Custom Fields: Extended (≤ 0.9.2.5) — Privilege Escalation sans authentification — CVE-2026-8809 — patché en 0.9.2.6 Avada (Fusion) Builder (≤ 3.15.2) — Remote Code Execution sans authentification — CVE-2026-6279 — patché en 3.15.3 Gravity Forms (≤ 2.10.0.1) — Arbitrary File Deletion sans authentification — CVE-2026-48866 — patché en 2.10.1 🟠 Vulnérabilités High sans authentification (sélection) LiteSpeed Cache (≤ 7.7) — XSS — CVE-2026-3375 — 7M+ installations WooCommerce PayPal Payments (≤ 4.0.1) — Broken Access Control — CVE-2026-9284 Forminator Forms (≤ 1.52.1) — Arbitrary File Read — CVE-2026-5192 ManageWP Worker (≤ 4.9.31) — XSS — CVE-2026-3718 Database Backup for WordPress (≤ 2.5.2) — Arbitrary File Read + Broken Access Control (x2) — CVE-2026-4030, CVE-2026-4029, CVE-2026-4031 Kirki (≤ 6.0.6) — Arbitrary File Read — CVE-2026-8073 Post SMTP (≤ 3.6.2) — XSS — CVE-2026-48838 Appointment Booking Calendar (≤ 1.6.11.8) — SQL Injection — CVE-2026-7797 Email Marketing for WooCommerce by Omnisend (≤ 1.18.0) — Broken Authentication — CVE-2026-42668 PixelYourSite Pro (≤ 12.5.0.1) — SSRF — CVE-2026-7049 Avada (Fusion) Builder (≤ 3.15.1) — SQL Injection — CVE-2026-4798 Slider Revolution — Arbitrary File Upload — CVE-2026-6692 Betheme (≤ 28.4) — Remote Code Execution — CVE-2026-6261 Roneous (≤ 2.1.5) — Local File Inclusion sans authentification — CVE-2025-69177 — pas de patch disponible 🟡 Plugins sans patch disponible au moment de la publication Meta for WooCommerce (≤ 3.7.0) — Open Redirect — CVE-2026-49059 Adminimize (≤ 1.11.11) — Broken Access Control — CVE-2026-49045 Duplicate Page and Post (≤ 2.9.5) — SQL Injection — CVE-2026-49046 The Post Grid (≤ 7.9.2) — Broken Access Control — CVE-2026-49054 Roneous (≤ 2.1.5) — Local File Inclusion — CVE-2025-69177 📊 Périmètre global L’article couvre plus de 100 entrées CVE réparties sur des dizaines de plugins et thèmes WordPress, avec des bases d’installation allant de 90 000 à plus de 10 millions (Yoast SEO). Les types de vulnérabilités incluent : XSS, Broken Access Control, SQL Injection, RCE, Privilege Escalation, Arbitrary File Read/Upload/Deletion, IDOR, SSRF, Path Traversal, Local File Inclusion, Information Disclosure, Open Redirect, Broken Authentication, Denial of Service, Content Injection. ...

🗓️ Contexte Article publié le 22 avril 2026 sur le blog personnel de Daniel Stenberg, mainteneur principal du projet curl. Il s’agit d’une analyse de tendance basée sur l’observation directe des soumissions au programme de bug bounty de curl sur HackerOne, ainsi que d’un sondage informel auprès d’autres mainteneurs de projets open source. 📈 Tendance principale : volume et qualité en hausse simultanée Depuis le retour de curl sur HackerOne en mars 2026 (après une fermeture temporaire le 1er février 2026 due aux soumissions de faible qualité générées par IA), la nature des rapports a radicalement changé : ...

Source et contexte: ANSSI — Le « Panorama de la cybermenace 2025 » (publication ANSSI) présente les tendances observées en France et en Europe : menaces persistantes, brouillage entre acteurs étatiques et cybercriminels, et forte pression sur secteurs publics et privés. Niveau de menace et secteurs touchés. En 2025, 3 586 événements de sécurité traités (−18% vs 2024) dont 1 366 incidents (stable). Quatre secteurs concentrent 76% des incidents: éducation & recherche (34%), ministères & collectivités (24%), santé (10%), télécoms (9%). Les frontières entre acteurs étatiques et cybercriminels s’érodent, complexifiant l’imputation et la détection. ...

Source: Anthropic — Contexte: Anthropic détaille une collaboration avec Mozilla où son modèle Claude Opus 4.6 a servi à découvrir et aider à corriger des vulnérabilités dans Firefox, avec publication de correctifs dans Firefox 148.0. 🔍 Découvertes clés: Claude Opus 4.6 a identifié 22 vulnérabilités en deux semaines, dont 14 de haute gravité (près d’un cinquième des vulnérabilités haute gravité remédiées en 2025). Mozilla a expédié des correctifs à des centaines de millions d’utilisateurs dans Firefox 148.0, le reste arrivant dans des versions ultérieures. En février 2026, ces signalements dépassent tout mois individuel de 2025. ...

Selon l’Institut national de test pour la cybersécurité (NTC), dans un communiqué du 26 février 2026, une analyse technique d’un an portant sur ~30 périphériques largement utilisés en Suisse (claviers, casques, webcams, systèmes de conférence) a mis au jour plus de 60 vulnérabilités, dont 13 graves et 3 critiques. Les appareils testés incluaient des produits de fabricants établis comme Logitech, Yealink, Jabra, HP, Eizo et Cherry, notamment utilisés dans des infrastructures critiques. ...

Selon GBHackers Security, de graves vulnérabilités touchent quatre extensions populaires de Visual Studio Code (VS Code), avec un impact sur plus de 128 millions de téléchargements. L’article précise que ces failles incluent trois vulnérabilités référencées: CVE-2025-65715, CVE-2025-65716 et CVE-2025-65717. ⚠️ Elles mettent en lumière les IDE comme maillon faible de la sécurité de la chaîne d’approvisionnement logicielle. Vulnérabilités identifiées CVE Extension Score CVSS Type de vulnérabilité Versions affectées CVE-2025-65717 Live Server 9.1 Exfiltration de fichiers locaux Toutes versions CVE-2025-65715 Code Runner 7.8 Exécution de code à distance (RCE) Toutes versions CVE-2025-65716 Markdown Preview Enhanced 8.8 Exécution JavaScript menant à exfiltration de données Toutes versions N/A Microsoft Live Preview N/A XSS permettant accès aux fichiers IDE < 0.4.16 Le texte souligne que les développeurs stockent fréquemment des données sensibles directement dans l’IDE, telles que des clés API, de la logique métier, des configurations de base de données et parfois des informations clients, ce qui accroît les risques en cas d’exploitation. ...

Selon CyberSecurityNews.com (20 février 2026), l’équipe OX Security Research a identifié trois vulnérabilités critiques dans quatre extensions Visual Studio Code très répandues, confirmées aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de téléchargements, révélant un angle mort de la chaîne d’approvisionnement logicielle: la machine du développeur. • Extensions et vulnérabilités clés CVE-2025-65717 – Live Server (CVSS 9.1, 72M+ téléchargements) : exfiltration de fichiers à distance via la fonctionnalité localhost. Versions affectées: toutes. CVE-2025-65715 – Code Runner (CVSS 7.8, 37M+ téléchargements) : exécution de code à distance (RCE). Versions affectées: toutes. CVE-2025-65716 – Markdown Preview Enhanced (CVSS 8.8, 8.5M+ téléchargements) : exécution JavaScript menant à scan de ports locaux et exfiltration de données. Versions affectées: toutes. (Sans CVE) Microsoft Live Preview (11M+ téléchargements) : XSS en un clic permettant exfiltration complète des fichiers de l’IDE, corrigée discrètement en v0.4.16+ sans attribution publique à OX Security. • Contexte et impact Les extensions d’IDE opèrent avec des permissions proches de l’administrateur, pouvant exécuter du code, lire/modifier des fichiers et communiquer sur le réseau local sans alerter les contrôles classiques. Selon OX Security, une seule extension malveillante ou vulnérable peut suffire à permettre des mouvements latéraux et compromettre une organisation entière. ...

Source et contexte : Dark Reading (article de Robert Lemos, 20 fév. 2026) rapporte les leçons de deux années de recherches menées par Hillai Ben Sasson et Dan Segev (Wiz) sur les failles de l’infrastructure IA, avec une présentation prévue à RSAC en mars. Leur message clé : se concentrer sur les vulnérabilités d’infrastructure plutôt que sur le seul prompt injection, alors que de nouveaux services (ex. MCP) arrivent avec de nombreuses failles sous-jacentes. ...

Source et contexte — Étude académique d’ETH Zurich et de l’Università della Svizzera italiana (USI), avec preuves de concept (PoC), analysant trois gestionnaires de mots de passe cloud (Bitwarden, LastPass, Dashlane) dans un modèle de menace à serveur malveillant. Principaux constats Les auteurs identifient 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane (25 au total). La plupart permettent la récupération de mots de passe. Les promesses de « Zero Knowledge »/E2EE ne tiennent pas face à un serveur pleinement malveillant, un modèle jugé réaliste au vu de la valeur des coffres et d’incidents passés. Les vulnérabilités découlent d’anti‑patterns communs : absence d’authentification des clés publiques, mauvaise séparation des clés, hypothèse erronée d’authenticité des chiffrés PKE, compatibilité rétro qui rouvre CBC sans intégrité, intégrité au niveau champ/élément mais pas du coffre entier. Attaques par catégories (exemples marquants) ...