Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 16 mars 2026 N° CERTFR-2026-ACT-011 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-011 Gestion du document Référence CERTFR-2026-ACT-011 Titre Bulletin d'actualité CERTFR-2026-ACT-011 Date de la première version 16 mars 2026 Date de la dernière version 16 mars 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 11 Tableau récapitulatif : Vulnérabilités critiques du 09/03/26 au 15/03/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Google Chrome CVE-2026-3909 8.8 (NVD) Non spécifié par l'éditeur 12/03/2026 Exploitée CERTFR-2026-AVI-0286 CERTFR-2026-AVI-0299 https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_12.html https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_13.html Google Chrome CVE-2026-3910 8.8 (NVD) Exécution de code arbitraire à distance 12/03/2026 Exploitée CERTFR-2026-AVI-0286 https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_12.html Veeam Veeam Backup & Replication CVE-2026-21708 9.9 (NVD) Exécution de code arbitraire à distance 11/03/2026 Pas d'information CERTFR-2026-AVI-0282 https://www.veeam.com/kb4830 https://www.veeam.com/kb4831 Veeam Veeam Backup & Replication CVE-2026-21667 9.9 (NVD) Exécution de code arbitraire à distance 11/03/2026 Pas d'information CERTFR-2026-AVI-0282 https://www.veeam.com/kb4830 Veeam Veeam Backup & Replication CVE-2026-21666 9.9 (NVD) Exécution de code arbitraire à distance 11/03/2026 Pas d'information CERTFR-2026-AVI-0282 https://www.veeam.com/kb4830 Veeam Veeam Backup & Replication CVE-2026-21669 9.9 (NVD) Exécution de code arbitraire à distance 11/03/2026 Pas d'information CERTFR-2026-AVI-0282 https://www.veeam.com/kb4831 Microsoft Semantic Kernel CVE-2026-26030 9.9 (NVD) Exécution de code arbitraire à distance 10/03/2026 Pas d'information CERTFR-2026-AVI-0274 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26030 HPE Aruba Networking AOS-CX CVE-2026-23813 9.8 (NVD) Contournement de la politique de sécurité 10/03/2026 Pas d'information CERTFR-2026-AVI-0262 https://csaf.arubanetworking.hpe.com/2026/hpe_aruba_networking_-_hpesbnw05027.txt Google Chrome CVE-2026-3916 9.6 (NVD) Non spécifié par l'éditeur 10/03/2026 Pas d'information CERTFR-2026-AVI-0278 https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_10.html Microsoft Edge CVE-2026-3545 9.6 (NVD) Contournement de la politique de sécurité 06/03/2026 Pas d'information CERTFR-2026-AVI-0253 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-3545 Siemens SIMATIC CVE-2025-40943 9.4 (NVD) Non spécifié par l'éditeur 10/03/2026 Pas d'information CERTFR-2026-AVI-0255 https://cert-portal.siemens.com/productcert/html/ssa-452276.html Microsoft Sharepoint Server CVE-2026-26105 9.3 (NVD) Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité 10/03/2026 Pas d'information CERTFR-2026-AVI-0274 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26105 Veeam Veeam Backup & Replication CVE-2026-21671 9.1 (NVD) Exécution de code arbitraire à distance 11/03/2026 Pas d'information CERTFR-2026-AVI-0282 https://www.veeam.com/kb4831 SAP NetWeaver Enterprise Portal CVE-2026-27685 9.1 (NVD) Atteinte à la confidentialité des données 10/03/2026 Pas d'information CERTFR-2026-AVI-0256 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2026.html CVE-2023-43010 , CVE-2023-41974 , CVE-2023-43000 , CVE-2024-23222 et CVE-2023-41974 : Multiples vulnérabilités dans iOS et iPadOS Apple a publié le 11 mars 2026 des correctifs pour iOS versions antérieures à 15.8.7, 16.7.15 et iPadOS versions antérieures à 15.8.7 et 16.7.15. Ces vulnérabilités font parti d'un kit d'exploitation permettant la compromission d'iPhone et d'iPad en affichant simplement une page d'un site internet. Le CERT-FR a connaissance d'exploitations massives de ces vulnérabilités et recommande la mise à jour de ces appareils. Liens : https://cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0280/ https://support.apple.com/en-us/126632 https://support.apple.com/en-us/126646 Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur N8N n8n CVE-2025-68613 9.9 Exécution de code arbitraire à distance 19/12/2025 Exploitée https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp SolarWinds Web Help Desk CVE-2025-26399 9.8 Exécution de code arbitraire à distance 23/09/2025 Exploitée https://www.solarwinds.com/trust-center/security-advisories/cve-2025-26399 Ivanti Endpoint Manager CVE-2026-1603 8.6 Atteinte à la confidentialité des données, Contournement de la politique de sécurité 09/02/2026 Exploitée https://hub.ivanti.com/s/article/Security-Advisory-EPM-February-2026-for-EPM-2024?language=en_US Vmware Workspace One Uem Console CVE-2021-22054 7.5 Atteinte à la confidentialité des données, Falsification de requêtes côté serveur (SSRF) 16s/12/2021 Exploitée https://www.vmware.com/security/advisories/VMSA-2021-0029.html Nginx Ui Nginx Ui CVE-2026-27944 9.8 Atteinte à la confidentialité des données 05/03/2026 Code d'exploitation public https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-g9w5-qffc-6762 StudioCMS StudioCMS CVE-2026-30944 8.8 Élévation de privilèges 10/03/2026 Code d'exploitation public https://github.com/withstudiocms/studiocms/security/advisories/GHSA-667w-mmh7-mrr4 Microsoft DirectX CVE-2025-68623 8.8 Élévation de privilèges 11/03/2026 Code d'exploitation public - Koajs Koa CVE-2026-27959 7.5 Exécution de code arbitraire à distance 26/02/2026 Code d'exploitation public https://github.com/koajs/koa/security/advisories/GHSA-7gcc-r8m5-44qm Publication de l'ENISA : Recommandations liées à l'utilisation de gestionnaires de paquets L'ENISA a publié le 10 mars 2026 un guide de recommandations concernant l'utilisation des gestionnaires de paquets. Il décrit les risques courants liés à l’utilisation de paquets tiers, présente des pratiques sécurisées pour sélectionner, intégrer et surveiller ces paquets ainsi que les méthodes permettant de traiter les vulnérabilités découvertes dans les dépendances. Liens : Guide technique d'utilisation de gestionnaires de paquets par l'ENISA Multiples vulnérabilités dans AppArmor: De multiples vulnérabilités ont été découvertes dans AppArmor. Elles permettent de contourner les protections du noyau Linux ou l'isolation du conteneur, ainsi qu'une élévation de privilèges. Les correctifs sont disponibles pour les différentes distributions ; Le CERT-FR recommande la mise à jour du système d'exploitation. liens: https://www.openwall.com/lists/oss-security/2026/03/12/7 Rappel des publications émises Dans la période du 09 mars 2026 au 15 mars 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0250 : Vulnérabilité dans Apereo CAS CERTFR-2026-AVI-0251 : Multiples vulnérabilités dans Apache Zookeeper CERTFR-2026-AVI-0252 : Multiples vulnérabilités dans les produits Moxa CERTFR-2026-AVI-0253 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0254 : Multiples vulnérabilités dans les produits Schneider Electric CERTFR-2026-AVI-0255 : Multiples vulnérabilités dans les produits Siemens CERTFR-2026-AVI-0256 : Multiples vulnérabilités dans les produits SAP CERTFR-2026-AVI-0257 : Vulnérabilité dans Mozilla Focus CERTFR-2026-AVI-0258 : Vulnérabilité dans Microsoft CBL-Mariner CERTFR-2026-AVI-0259 : Multiples vulnérabilités dans Stormshield Network Security CERTFR-2026-AVI-0260 : Multiples vulnérabilités dans WordPress CERTFR-2026-AVI-0261 : Multiples vulnérabilités dans les produits Intel CERTFR-2026-AVI-0262 : Multiples vulnérabilités dans HPE Aruba Networking AOS-CX CERTFR-2026-AVI-0263 : Vulnérabilité dans Ivanti Desktop and Server Management (DSM) CERTFR-2026-AVI-0264 : Multiples vulnérabilités dans les produits Adobe CERTFR-2026-AVI-0265 : Multiples vulnérabilités dans les produits Fortinet CERTFR-2026-AVI-0266 : Multiples vulnérabilités dans VMware Tanzu CERTFR-2026-AVI-0267 : Multiples vulnérabilités dans Mozilla Firefox CERTFR-2026-AVI-0268 : Multiples vulnérabilités dans Traefik CERTFR-2026-AVI-0269 : Multiples vulnérabilités dans Curl CERTFR-2026-AVI-0270 : Multiples vulnérabilités dans Microsoft Office CERTFR-2026-AVI-0271 : Multiples vulnérabilités dans Microsoft Windows CERTFR-2026-AVI-0272 : Multiples vulnérabilités dans Microsoft .Net CERTFR-2026-AVI-0273 : Multiples vulnérabilités dans Microsoft Azure CERTFR-2026-AVI-0274 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0275 : Vulnérabilité dans GLPI CERTFR-2026-AVI-0276 : Multiples vulnérabilités dans GitLab CERTFR-2026-AVI-0277 : Multiples vulnérabilités dans les produits Palo Alto Networks CERTFR-2026-AVI-0278 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0279 : Multiples vulnérabilités dans Cisco IOS XR CERTFR-2026-AVI-0280 : Multiples vulnérabilités dans les produits Apple CERTFR-2026-AVI-0281 : Multiples vulnérabilités dans les produits Splunk CERTFR-2026-AVI-0282 : Multiples vulnérabilités dans Veeam Bac