Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 09 février 2026 N° CERTFR-2026-ACT-006 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-006 Gestion du document Référence CERTFR-2026-ACT-006 Titre Bulletin d'actualité CERTFR-2026-ACT-006 Date de la première version 09 février 2026 Date de la dernière version 09 février 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 6 Tableau récapitulatif : Vulnérabilités critiques du 02/02/26 au 08/02/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Google Pixel CVE-2026-0106 9.3 (NVD) Élévation de privilèges 02/02/2026 Pas d'information CERTFR-2026-AVI-0113 https://source.android.com/docs/security/bulletin/pixel/2026/2026-02-01?hl=fr Moxa TN-4500A Series, TN-G4500 Series, TN-G6500 Series, TN-5500A Series CVE-2024-12297 9.2 (NVD) Contournement de la politique de sécurité 04/02/2026 Pas d'information CERTFR-2026-AVI-0116 https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241409-cve-2024-12297-frontend-authorization-logic-disclosure-vulnerability-in-ethernet-switches GLPI GLPI CVE-2026-22247 9.1 (NVD) Falsification de requêtes côté serveur (SSRF) 04/02/2026 Pas d'information CERTFR-2026-AVI-0117 https://github.com/glpi-project/glpi/security/advisories/GHSA-f6f6-v3qr-9p5x Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Gitlab Gitlab CVE-2021-39935 7.5 Falsification de requêtes côté serveur (SSRF) 20/11/2021 Exploitée https://gitlab.com/gitlab-org/gitlab/-/issues/346187 Sangoma Freepbx CVE-2025-64328 8.6 Exécution de code arbitraire à distance 05/11/2025 Exploitée https://github.com/FreePBX/security-reporting/security/advisories/GHSA-vm9p-46mv-5xvw Sangoma Freepbx CVE-2019-19006 9.8 Contournement de la politique de sécurité 20/11/2019 Exploitée https://community.freepbx.org/t/freepbx-security-vulnerability-sec-2019-001/62772 SmarterTools SmarterMail CVE-2026-24423 9.3 Exécution de code arbitraire à distance 22/01/2026 Exploitée https://www.smartertools.com/smartermail/release-notes/current React Native Community CLI CVE-2025-11953 9.8 Exécution de code arbitraire à distance 06/11/2025 Exploitée https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-11953 SolarWinds Web Help Desk CVE-2025-40551 9.8 Exécution de code arbitraire à distance 28/01/2026 Exploitée https://www.solarwinds.com/trust-center/security-advisories/cve-2025-40551 N8N N8N CVE-2026-25049 9.4 Non spécifié par l'éditeur 04/02/2026 Code d'exploitation public https://github.com/n8n-io/n8n/security/advisories/GHSA-6cqr-8cfr-67f8 Notepad++: Compromission de la chaîne d'approvisionnement Le 2 février 2026, les développeurs de Notepad++ ont publié un avis de sécurité annonçant une compromission de leur serveur de mises à jour hébergé chez un fournisseur d’hébergement tiers. Une attaque ciblée a affecté cette infrastructure, entre juin et décembre 2025, permettant la distribution de binaires malveillants via le mécanisme de mises à jour automatiques. Aucune compromission du code source officiel, du dépôt GitHub, ni des binaires publiés manuellement n’a été constatée. Le CERT-FR recommande de : Mettre à jour Notepad++ vers la version v8.9.1 ; Analyser les postes concernés ; Vérifier l'intégrité des fichiers installés ; En cas de compromission ou de suspicion de compromission, signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRT métier. Liens : https://notepad-plus-plus.org/news/hijacked-incident-info-update/ https://securelist.com/notepad-supply-chain-attack/118708/ Indicateurs de Compromission Ces indicateurs n'ont pas été qualifiés par le CERT-FR. https://notepad-plus-plus.org/assets/data/IoCFromFormerHostingProvider.txt https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/ Rappel des publications émises Dans la période du 02 février 2026 au 08 février 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0111 : Vulnérabilité dans ESET Inspect Connector CERTFR-2026-AVI-0112 : Multiples vulnérabilités dans les produits VMware CERTFR-2026-AVI-0113 : Vulnérabilité dans Google Pixel CERTFR-2026-AVI-0114 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0115 : Multiples vulnérabilités dans Tenable Identity Exposure CERTFR-2026-AVI-0116 : Vulnérabilité dans les produits Moxa CERTFR-2026-AVI-0117 : Multiples vulnérabilités dans GLPI CERTFR-2026-AVI-0118 : Multiples vulnérabilités dans les produits Splunk CERTFR-2026-AVI-0119 : Multiples vulnérabilités dans les produits Cisco CERTFR-2026-AVI-0120 : Multiples vulnérabilités dans les produits F5 CERTFR-2026-AVI-0121 : Vulnérabilité dans les produits Juniper Networks CERTFR-2026-AVI-0122 : Multiples vulnérabilités dans Tenable Nessus CERTFR-2026-AVI-0123 : Multiples vulnérabilités dans Asterisk CERTFR-2026-AVI-0124 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0125 : Multiples vulnérabilités dans les produits Moxa CERTFR-2026-AVI-0126 : Vulnérabilité dans ESET Management Agent CERTFR-2026-AVI-0127 : Vulnérabilité dans NetApp ONTAP 9 CERTFR-2026-AVI-0128 : Multiples vulnérabilités dans le noyau Linux de SUSE CERTFR-2026-AVI-0129 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu CERTFR-2026-AVI-0130 : Multiples vulnérabilités dans le noyau Linux de Red Hat CERTFR-2026-AVI-0131 : Multiples vulnérabilités dans les produits IBM Dans la période du 02 février 2026 au 08 février 2026, le CERT-FR a mis à jour les publications suivantes : CERTFR-2026-ALE-001 : [MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile