Une vulnérabilité affectant le Cisco Catalyst SD-WAN Controller a attiré une attention urgente après que Cisco, Rapid7, et le CISA ont confirmé une exploitation active. CVE-2026-20182 est une faille critique de contournement de l’authentification dans le Cisco Catalyst SD-WAN Controller et le Cisco Catalyst SD-WAN Manager qui porte un score CVSS de 10,0 et peut […]
CVE-2026-42897 : Vulnérabilité de falsification d’Exchange Server OWA exploitée via un e-mail spécialement conçu
Microsoft a divulgué une vulnérabilité affectant les versions locales d’Exchange Server qui fait déjà l’objet d’une exploitation active dans la nature. Suivie sous le code CVE-2026-42897, la faille obtient un score CVSS de 8.1 et affecte Exchange Server 2016, Exchange Server 2019 et Exchange Server Subscription Edition, tandis qu’Exchange Online n’est pas impacté. Microsoft la […]
CVE-2026-42945 : Une faille dans NGINX âgée de 18 ans pourrait permettre une exécution de code à distance non authentifiée
Les bogues de l’infrastructure Web restent particulièrement dangereux lorsqu’ils résident pendant des années dans la logique de traitement des requêtes largement déployée sans être détectés. Parmi les dernières vulnérabilités impactant NGINX Plus et NGINX Open, la vulnérabilité CVE-2026-42945 se distingue comme un dépassement de tampon de tas vieux de 18 ans dans ngx_http_rewrite_module qui peut […]
CVE-2026-46300 : La faille du noyau Linux Fragnesia permet d’obtenir les privilèges root via la corruption du cache des pages
Les failles d’escalade de privilèges locaux restent particulièrement dangereuses lorsqu’elles transforment un accès utilisateur ordinaire en accès root immédiat. La vulnérabilité CVE-2026-46300, surnommée Fragnesia, est une faille de haute gravité du noyau Linux dans le sous-système XFRM ESP-in-TCP qui permet à un attaquant local non privilégié d’écrire des octets arbitraires dans le cache page de […]
CVE-2026-43500 et CVE-2026-43284 : Flaw de Privilège d’Escalade Dirty Frag Linux Augmente le Risque Post-Compromission
Les bugs d’escalade de privilèges locaux sur Linux restent particulièrement dangereux lorsqu’ils transforment un accès limité en accès complet à root. La vulnérabilité CVE-2026-43500 est la partie RxRPC de la chaîne d’exploitation Dirty Frag, que Microsoft affirme être déjà liée à un abus limité après-compromis observé dans la nature, tandis que Qualys la décrit comme […]
CVE-2026-23918 : faille critique d’Apache HTTP/2 pouvant déclencher un DoS et un RCE possible
Apache a corrigé CVE-2026-23918, une faille critique dans la gestion HTTP/2 du serveur HTTP Apache, que Apache décrit comme une « double libération et possible RCE ». Le problème affecte le serveur HTTP Apache 2.4.66 et a été corrigé dans la version 2.4.67, publiée le 4 mai 2026. La vulnérabilité CVE-2026-23918 est importante car elle […]
CVE-2026-0300 : Zero-Day de Palo Alto PAN-OS permettant une RCE root sur les pare-feux exposés
Les appareils de sécurité périmétrique restent des cibles de grande valeur, surtout lorsqu’une faille peut être exploitée avant qu’un correctif ne soit largement disponible. La vulnérabilité CVE-2026-0300 est un débordement de tampon critique dans le portail d’authentification User-ID, également connu sous le nom de portail captif, dans Palo Alto Networks PAN-OS. Palo Alto l’évalue à […]
CVE-2026-41940 : Vulnérabilité critique de contournement d’authentification de cPanel & WHM expose les serveurs d’hébergement au risque de prise de contrôle par un administrateur
Une nouvelle vulnérabilité CVE-2026-41940 récemment divulguée dans cPanel & WHM a mis l’infrastructure d’hébergement exposée à Internet sous une surveillance urgente. La faille a un score CVSS de 9.8 et peut permettre à un attaquant distant non authentifié de contourner l’authentification et d’obtenir un accès administratif, tandis que l’avis de cPanel indique que le problème […]
CVE-2026-28950 : Apple corrige une faille iOS qui conservait les données des notifications supprimées
Apple a publié des mises à jour de sécurité pour résoudre un problème de Notification Services dans iOS et iPadOS qui pourrait amener les alertes marquées pour suppression à rester stockées sur un appareil. La correction a été livrée dans iOS 26.4.2 / iPadOS 26.4.2 et iOS 18.7.8 / iPadOS 18.7.8, où Apple déclare que […]
CVE-2026-40372 : Vulnérabilité critique dans ASP.NET Core permettant aux attaquants d’obtenir des privilèges SYSTEM
Microsoft a publié des mises à jour hors bande pour CVE-2026-40372, une vulnérabilité de l’élévation des privilèges ASP.NET Core à fort impact liée aux API cryptographiques de protection des données de la plate-forme. Les rapports publics indiquent que la faille a un score CVSS de 9,1 et pourrait permettre à un attaquant non authentifié de […]