Faits marquants de la semaine
- Fortinet confirme une vulnérabilité de contournement de l’authentification SSO FortiCloud, activement exploitée sur des pare-feux FortiGate pourtant intégralement à jour, et indique travailler à colmater complètement cette faille sur les appareils concernés.
- Une vulnérabilité critique de GNU, introduite en 2015 et restée 11 ans inaperçue, permet d’obtenir un accès administrateur sans authentification ; des tentatives d’exploitation sont déjà observées.
- Une faille de type injection indirecte de requêtes dans Google Gemini permet de transformer de simples invitations de calendrier en vecteur d’attaque, contournant les contrôles de confidentialité de Google pour accéder à des données privées.
- Lors du deuxième jour du concours Pwn2Own Automotive 2026, les participants ont exploité 29 vulnérabilités de type « zero-day » inédites et empoché 439 250 dollars, révélant une surface d’attaque importante dans les technologies automobiles.
Les incidents recensés illustrent la combinaison de failles critiques, parfois anciennes, et de vulnérabilités inédites rapidement exploitées, allant des services réseau historiques comme telnetd aux systèmes avancés d’intelligence artificielle et aux plateformes automobiles, soulignant la dépendance d’infrastructures variées à des composants logiciels exposés à des usages détournés ou offensifs.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La sélection des 13 actualités à retenir cette semaine
Fortinet confirme la présence d'un contournement actif de l'authentification unique FortiCloud sur les pare-feu FortiGate entièrement mis à jour.
Fortinet a officiellement confirmé travailler à corriger définitivement une vulnérabilité de contournement de l'authentification SSO de FortiCloud, suite à des signalements d'exploitation récente sur des pare-feu pourtant entièrement patchés. « Au cours des dernières 24 heures, nous… Lire la suite
Une faille critique de 11 ans affectant telnetd a été découverte dans GNU InetUtils (CVE-2026-24061)
Une faille critique de sécurité (CVE-2026-24061, score CVSS de 9,8) affecte toutes les versions de GNU InetUtils comprises entre 1.9.3 et 2.7 et est restée indétectée pendant près de 11 ans. Cette vulnérabilité critique, référencée CVE-2026-24061 (score… Lire la suite
Une faille dans Google Gemini transforme les invitations de calendrier en vecteur d'attaque
La vulnérabilité d'injection indirecte de requêtes permet à un attaquant d'utiliser les invitations comme une arme pour contourner les contrôles de confidentialité de Google et accéder à des données privées. Lire la suite
Des pirates informatiques exploitent 29 failles zero-day lors de la deuxième journée de Pwn2Own Automotive.
Des pirates informatiques ont récolté 439 250 $ après avoir exploité 29 vulnérabilités zero-day le deuxième jour de Pwn2Own Automotive 2026. […] Lire la suite
Microsoft publie une mise à jour d'urgence OOB pour corriger les blocages d'Outlook
Microsoft a publié samedi des mises à jour d'urgence hors cycle pour Windows 10, Windows 11 et Windows Server afin de corriger un problème qui empêchait l'ouverture de Microsoft Outlook classique lors de l'utilisation de fichiers PST… Lire la suite
Une faille critique dans un plugin WordPress expose plus de 100 000 sites web à des attaques par élévation de privilèges.
Une faille critique d'élévation de privilèges, découverte dans l'extension WordPress Advanced Custom Fields: Extended, menace plus de 100 000 installations actives. Cette vulnérabilité, référencée CVE-2025-14533 et présentant un score CVSS de 9,8, permet à des attaquants non authentifiés… Lire la suite
Une faille critique dans les caméras TP-Link VIGI permettait la prise de contrôle à distance des systèmes de surveillance.
TP-Link a corrigé une faille critique qui exposait plus de 32 modèles de caméras VIGI C et VIGI InSight à un piratage à distance, avec plus de 2 500 appareils exposés sur Internet identifiés. TP-Link a corrigé une… Lire la suite
Cloudflare corrige un bug de validation ACME permettant de contourner le WAF pour accéder aux serveurs d'origine.
Cloudflare a corrigé une faille de sécurité affectant la logique de validation de son environnement de gestion automatique des certificats (ACME), qui permettait de contourner les contrôles de sécurité et d'accéder aux serveurs d'origine. « La vulnérabilité… Lire la suite
Le CERT/CC signale un bug dans l'analyseur binaire permettant l'exécution de code privilégié Node.js.
Une faille de sécurité a été découverte dans la bibliothèque npm populaire binary-parser. Si elle était exploitée, elle pourrait permettre l'exécution de code JavaScript arbitraire. Cette vulnérabilité, référencée CVE-2026-1245 (score CVSS : non disponible), affecte toutes les versions… Lire la suite
Zoom et GitLab publient des mises à jour de sécurité corrigeant les failles d'exécution de code à distance, de déni de service et de contournement de l'authentification à deux facteurs.
Zoom et GitLab ont publié des mises à jour de sécurité afin de corriger plusieurs failles de sécurité susceptibles d'entraîner des attaques par déni de service (DoS) et l'exécution de code à distance. La plus grave d'entre… Lire la suite
Cisco corrige la vulnérabilité zero-day CVE-2026-20045 activement exploitée dans Unified CM et Webex
Cisco a publié de nouveaux correctifs pour remédier à une faille de sécurité critique affectant plusieurs produits de communications unifiées (CM) et l'instance dédiée Webex Calling, et qui a été activement exploitée comme une vulnérabilité zero-day. Cette… Lire la suite
Une faille d'authentification SmarterMail a été exploitée deux jours après la publication du correctif.
Une nouvelle faille de sécurité dans le logiciel de messagerie SmarterMail de SmarterTools est activement exploitée, deux jours seulement après la publication d'un correctif. Cette vulnérabilité, qui ne possède actuellement aucun identifiant CVE, est référencée WT-2026-0001 par… Lire la suite
La CISA ajoute la faille de sécurité CVE-2024-37079 de VMware vCenter, actuellement exploitée, à son catalogue de vulnérabilités critiques (KEV).
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté vendredi une faille de sécurité critique affectant Broadcom VMware vCenter Server, corrigée en juin 2024, à son catalogue des vulnérabilités exploitées connues (KEV), citant des… Lire la suite
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
