Le CERT-FR publie l'avis CERTFR-2026-AVI-0689 sur CVE-2026-20230, SSRF non authentifiée dans Unified CM. Critique côté Cisco, PoC public. Patch 14SU6 dispo, 15SU5 attendu en septembre.
GLPI publie un cycle de patch couvrant 13 vulnérabilités dont 4 hautes, à l'origine de XSS stockés, suppressions arbitraires et contournements. Avis CERT-FR du 2 juin.
L'avis CERTFR-2026-AVI-0677 (2 juin 2026) couvre une élévation de privilèges authentifiée vers admin sur Neurons for ITSM, cloud et on-prem. CVSS 8.8. Patch obligatoire pour les déploiements internes.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0670 sur CVE-2026-48019, une faille CRLF dans la validation d'email de Laravel. Patch obligatoire en 12.60.0 ou 13.10.0.
GitLab publie un cycle de patch de sécurité couvrant sept CVE, dont CVE-2026-4868 (8,2) sur l'identité des workflows Duo AI. Avis CERT-FR du 28 mai.
Veeam patche en urgence VBR 13.0.2.29 : écriture de fichier authentifiée sur l'appliance Linux (8,6) et élévation de privilèges locale sur l'agent Windows (7,3). Avis CERT-FR du 27 mai.
Le CERT-FR a relayé le 27 mai les six failles corrigées par Samba 4.22.10, 4.23.8 et 4.24.3. Deux RCE critiques, dont une non authentifiée sur SAMR.
Le CERT-FR a publié le 26 mai l'avis CERTFR-2026-AVI-0643 sur une faille critique (CVSS 9.2) dans ngx_http_rewrite_module. PoC public, exploitation observée.
Le CERT-FR relaie l'avis Roundcube du 24 mai : SQLi pré-auth dans virtuser_query, suppression de fichiers par poisoning Redis/Memcache, injection de code LDAP. Mettez à jour 1.6.16 / 1.7.1.
Un pirate revendique 44 millions de lignes exfiltrées chez le tiers-payant Almerys, dont 15,4 millions de NIR uniques. CNIL et ANSSI notifiées. Plus de 670 organismes concernés.
Le CERT-FR publie un avis cumulant plus de 30 CVE dans Db2, Db2 Big SQL, Db2 on Cloud Pak et Open SDK for Rust on AIX. Plusieurs permettent l'exécution de code à distance.
Une injection SQL non authentifiée dans l’API d’abstraction base de données de Drupal touche tous les sites sur PostgreSQL. Drupal la note 23/25. Les attaques ont démarré deux jours après le patch.
Une élévation de privilège dans le plugin LiteSpeed User-End cPanel permet à n’importe quel compte cPanel d’exécuter du code en root. Le scan massif a démarré 72 h après la divulgation.