Alertes CVE & Vulnérabilités
CVE critiques · Exploitations actives · 0-day · Correctifs urgents · Alertes CERT-FR
CVE-2026-47835 : SQLi Spring AI vector store CVSS 8.6
CVE-2026-47835 (CVSS 8.6) : injection SQL dans le filtrage des métadonnées du vector store Elasticsearch de Spring AI 1.0.x/1.1.x. Le CERT-FR publie CERTFR-2026-AVI-0751 le 15 juin 2026 — patch immédiat vers 1.0.9+/1.1.8+.
Dernières alertes
CVE-2026-40976 : Spring Boot bypass auth CVSS 9.1
CVE-2026-40976 (CVSS 9.1) expose tous les endpoints Spring Boot 4.0.0-4.0.5 sans authentification. Le CERT-FR publie CERTFR-2026-AVI-0759 le 16 juin 2026 : mise à jour immédiate vers 4.0.6+ ou 3.4.17+ impérative.
CVE-2026-10825 : RCE Moxa NPort ICS, CERTFR alerte
CVE-2026-10825 permet une exécution de code à distance non authentifiée sur les convertisseurs série-Ethernet Moxa NPort. Le CERT-FR publie l'avis CERTFR-2026-AVI-0760 le 16 juin 2026 : patch immédiat requis pour les environnements ICS/SCADA.
Oracle CPU juin 2026 : CVSS 10.0 Fusion Middleware
Le Critical Patch Update Oracle de juin 2026 corrige plus de 300 vulnérabilités dont des failles CVSS 10.0 dans Oracle Fusion Middleware et CVSS 9.9 dans Oracle E-Business Suite et REST Data Services (CVE-2026-46775, CVE-2026-46839), plusieurs exploitables sans authentification à distance.
CVE-2026-3055 : Citrix NetScaler CISA KEV, exploit massif
CVE-2026-3055 (CVSS 9.3) affecte Citrix NetScaler ADC et Gateway en mode SAML IDP, exposant la mémoire de l'appliance à des attaquants non authentifiés. Inscrite au catalogue CISA KEV le 30 mars 2026, avec exploitation massive confirmée par Fortinet.
CVE-2026-41089 : RCE Netlogon Windows, exploitation massive
CVE-2026-41089 (CVSS 9.8) est une faille critique dans le service Netlogon de Windows permettant l'exécution de code à distance avec privilèges SYSTEM sur les contrôleurs de domaine sans authentification. Exploitation massive confirmée par le Centre pour la Cybersécurité Belgique.
CVE-2025-48595 : Android Framework exploité, CISA KEV
CVE-2025-48595, débordement d'entier dans l'Android Framework (CVSS 8.4), est activement exploité in-the-wild et ajouté au catalogue CISA KEV le 2 juin 2026. Patch de sécurité Android juin 2026 requis en urgence sur tous les appareils.
CVE-2026-48303 : Adobe Campaign Classic RCE CVSS 10.0
CVE-2026-48303, faille d'autorisation incorrecte dans Adobe Campaign Classic (CVSS 10.0 maximal), permet une exécution de code arbitraire à distance sans authentification sur toutes les instances on-premise jusqu'au build 9394.
CVE-2026-44815 : RCE DHCP Windows non-authentifié CVSS 9.8
CVE-2026-44815, débordement de pile dans le service DHCP Client Windows (CVSS 9.8), permet à un attaquant non authentifié d'exécuter du code arbitraire sur tout le parc Windows — patch Patch Tuesday juin 2026 disponible.
CVE-2026-34908 : Triple CVSS 10.0 Ubiquiti UniFi OS
Ubiquiti patche en urgence trois vulnerabilites CVSS 10.0 (CVE-2026-34908, 34909, 34910) dans UniFi OS. Acces non authentifie, prise de controle totale possible sur Dream Machine, Dream Router et consoles UniFi. Mise a jour imperative.
CVE-2026-35273 : 0-day PeopleSoft CVSS 9.8, ShinyHunters sevit
CVE-2026-35273, une RCE pre-auth CVSS 9.8 dans Oracle PeopleSoft, activement exploitee depuis le 27 mai 2026 par ShinyHunters (UNC6240). Plus de 100 organisations ciblees dont 68 % d'universites. Patch Oracle d'urgence disponible depuis le 10 juin 2026.
CVE-2026-47281 : 0-day Defender RoguePlanet SYSTEM
Un 0-day Windows Defender baptise RoguePlanet (CVE-2026-47281, CVSS 9.6) permet a tout utilisateur standard d'obtenir des droits SYSTEM sur Windows 10/11 entierement patches. Aucun correctif Microsoft disponible au 14 juin 2026.
CVE-2026-31790 : RCE non-auth Stormshield SNS CVSS 9.1
CVE-2026-31790 (CVSS 9.1) : exécution de code à distance non authentifiée sur les appliances Stormshield Network Security. Alerte CERT-FR CERTFR-2026-AVI-0723 — patch disponible dans le bulletin Stormshield 2026-011.
CVE-2026-7473 : Arista EOS CISA KEV, aucun patch prévu
CVE-2026-7473 : faille de décapsulation tunnel dans Arista EOS ajoutée au catalogue CISA KEV le 9 juin 2026. Exploitation active confirmée, aucun correctif prévu — mitigations ACL urgentes.
CVE-2026-20223 : Cisco Secure Workload CVSS 10.0
CVE-2026-20223 (CVSS 10.0) : une faille d'authentification dans les endpoints REST API de Cisco Secure Workload permet d'obtenir les droits Site Admin sans aucune authentification préalable.