Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 27 avril 2026 N° CERTFR-2026-ACT-019 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-019 Gestion du document Référence CERTFR-2026-ACT-019 Titre Bulletin d'actualité CERTFR-2026-ACT-019 Date de la première version 27 avril 2026 Date de la dernière version 27 avril 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 17 Tableau récapitulatif : Vulnérabilités critiques du 20/04/26 au 26/04/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Traefik Traefik CVE-2026-41174 4.8 (NVD) Contournement de la politique de sécurité 24/04/2026 Code d'exploitation public CERTFR-2026-AVI-0490 https://github.com/traefik/traefik/security/advisories/GHSA-xhjw-95fp-8vgq Traefik Traefik CVE-2026-39858 7.8 (NVD) Contournement de la politique de sécurité 24/04/2026 Code d'exploitation public CERTFR-2026-AVI-0490 https://github.com/traefik/traefik/security/advisories/GHSA-5m6w-wvh7-57vm Traefik Traefik CVE-2026-35051 7.8 (NVD) Contournement de la politique de sécurité 24/04/2026 Code d'exploitation public CERTFR-2026-AVI-0490 https://github.com/traefik/traefik/security/advisories/GHSA-6384-m2mw-rf54 Traefik Traefik CVE-2026-40912 7.8 (NVD) Contournement de la politique de sécurité 24/04/2026 Code d'exploitation public CERTFR-2026-AVI-0490 https://github.com/traefik/traefik/security/advisories/GHSA-6jwx-7vp4-9847 Atlassian Jira CVE-2024-47875 10 (NVD) Injection de code indirecte à distance (XSS) 21/04/2026 Pas d'information CERTFR-2026-AVI-0479 https://jira.atlassian.com/browse/JSWSERVER-26666 https://jira.atlassian.com/browse/JSDSERVER-16552 Ubuntu Ubuntu CVE-2025-68263 9.8 (NVD) Non spécifié par l'éditeur 23/04/2026 Pas d'information CERTFR-2026-AVI-0495 https://ubuntu.com/security/notices/USN-8204-1 https://ubuntu.com/security/notices/USN-8203-1 https://ubuntu.com/security/notices/USN-8179-3 Atlassian Jira, Confluence CVE-2022-1471 9.8 (NVD) Exécution de code arbitraire à distance 21/04/2026 Pas d'information CERTFR-2026-AVI-0479 https://jira.atlassian.com/browse/JSWSERVER-26765 https://jira.atlassian.com/browse/JSDSERVER-16542 https://jira.atlassian.com/browse/CONFSERVER-103612 Mozilla Thunderbird, Firefox, Firefox ESR CVE-2026-2781 9.8 (NVD) Non spécifié par l'éditeur 21/04/2026 Pas d'information CERTFR-2026-AVI-0480 https://www.mozilla.org/en-US/security/advisories/mfsa2026-31/ Mozilla Thunderbird, Firefox, Firefox ESR CVE-2026-6748 9.8 (NVD) Non spécifié par l'éditeur 21/04/2026 Pas d'information CERTFR-2026-AVI-0480 https://www.mozilla.org/en-US/security/advisories/mfsa2026-32/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-33/ Mozilla Thunderbird, Firefox CVE-2026-6760 9.8 (NVD) Contournement de la politique de sécurité 21/04/2026 Pas d'information CERTFR-2026-AVI-0480 https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-33/ Mozilla Thunderbird, Firefox CVE-2026-6768 9.8 (NVD) Contournement de la politique de sécurité 21/04/2026 Pas d'information CERTFR-2026-AVI-0480 https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-33/ Mozilla Thunderbird, Firefox, Firefox ESR CVE-2026-6771 9.8 (NVD) Contournement de la politique de sécurité 21/04/2026 Pas d'information CERTFR-2026-AVI-0480 https://www.mozilla.org/en-US/security/advisories/mfsa2026-32/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-33/ SUSE SUSE Linux Micro, SUSE Linux Micro Extras CVE-2026-23240 9.8 (NVD) Non spécifié par l'éditeur 20/04/2026 Pas d'information CERTFR-2026-AVI-0497 https://www.suse.com/support/update/announcement/2026/suse-su-202621237-1 https://www.suse.com/support/update/announcement/2026/suse-su-202621230-1 Microsoft Azure Linux CVE-2026-40393 9.8 (NVD) Non spécifié par l'éditeur 14/04/2026 Pas d'information CERTFR-2026-AVI-0463 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40393 Microsoft Edge CVE-2026-6296 9.6 (NVD) Contournement de la politique de sécurité 17/04/2026 Pas d'information CERTFR-2026-AVI-0462 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-6296 Atlassian Jira CVE-2021-31597 9.4 (NVD) Contournement de la politique de sécurité 21/04/2026 Pas d'information CERTFR-2026-AVI-0479 https://jira.atlassian.com/browse/JSDSERVER-16544 Atlassian Jira CVE-2026-25547 9.2 (NVD) Déni de service à distance 21/04/2026 Pas d'information CERTFR-2026-AVI-0479 https://jira.atlassian.com/browse/JSWSERVER-26760 https://jira.atlassian.com/browse/JSDSERVER-16556 IBM Sterling Connect:Direct CVE-2026-22732 9.1 (NVD) Contournement de la politique de sécurité 23/04/2026 Pas d'information CERTFR-2026-AVI-0492 https://www.ibm.com/support/pages/node/7270504 Microsoft .Net CVE-2026-40372 9.1 (NVD) Élévation de privilèges 21/04/2026 Pas d'information CERTFR-2026-AVI-0478 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40372 Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Quest KACE Systems Management Appliance CVE-2025-32975 10 Contournement de la politique de sécurité 24/06/2025 Exploitée https://support.quest.com/fr-fr/kb/4379499/quest-response-to-kace-sma-vulnerabilities-cve-2025-32975-cve-2025-32976-cve-2025-32977-cve-2025-32978 Simple-Help Simplehelp CVE-2024-57726 9.9 Élévation de privilèges 15/01/2025 Exploitée https://guides.simple-help.com/kb---security-vulnerabilities-01-2025#security-vulnerabilities-in-simplehelp-5-5-7-and-earlier Coreweave Marimo CVE-2026-39987 9.3 Non spécifié par l'éditeur 08/04/2026 Exploitée https://github.com/marimo-team/marimo/security/advisories/GHSA-2679-6mx9-h9xc Microsoft Windows CVE-2026-33825 7.8 Élévation de privilèges 15/04/2026 Exploitée https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825 Papercut Papercut Ng, Papercut Mf CVE-2023-27351 7.5 Contournement de la politique de sécurité 20/04/2023 Exploitée https://www.papercut.com/kb/Main/PO-1216-and-PO-1219 Cisco Catalyst Sd-Wan Manager CVE-2026-20133 7.5 Atteinte à la confidentialité des données, Contournement de la politique de sécurité 25/02/2026 Exploitée https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v Jetbrains Teamcity CVE-2024-27199 7.3 Non spécifié par l'éditeur 04/03/2024 Exploitée https://www.jetbrains.com/privacy-security/issues-fixed/ Kentico Xperience CVE-2025-2749 7.2 Exécution de code arbitraire à distance 24/03/2025 Exploitée https://docs.kentico.com/13/installation/hotfix-instructions-xperience-13#section-30 Simple-Help Simplehelp CVE-2024-57728 7.2 Exécution de code arbitraire à distance 15/01/2025 Exploitée https://guides.simple-help.com/kb---security-vulnerabilities-01-2025#security-vulnerabilities-in-simplehelp-5-5-7-and-earlier Dlink Dir-823X Firmware CVE-2025-29635 8.8 Exécution de code arbitraire à distance 25/03/2025 Exploitée https://guides.simple-help.com/kb---security-vulnerabilities-01-2025#security-vulnerabilities-in-simplehelp-5-5-7-and-earlier Synacor Zimbra Collaboration Suite CVE-2025-48700 6.1 Exécution de code arbitraire, Atteinte à la confidentialité des données, Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité 23/06/2025 Exploitée https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories Google Chrome CVE-2025-11460 8.8 Exécution de code arbitraire à distance 08/10/2025 Code d'exploitation public https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop.html Microsoft Edge CVE-2025-11460 8.8 Exécution de code arbitraire à distance 08/10/2025 Code d'exploitation public https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-11460 Splunk Splunk AppDynamics Private Synthetic Agent CVE-2025-11460 8.8 Exécution de code arbitraire à distance 08/10/2025 Code d'exploitation public https://advisory.splunk.com/advisories/SVD-2026-0309 Rappel des publications émises Dans la période du 20 avril 2026 au 26 avril 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0457 : Multiples vulnérabilités dans Spring Framework CERTFR-2026-AVI-0458 : Vulnérabilité dans les produits Moxa CERTFR-2026-AVI-0459 : Vulnérabilité dans Mattermost Server CERTFR-2026-AVI-0460 : Vulnérabilité dans Xen CERTFR-2026-AVI-0461 : Multiples vulnérabilités dans Apache Kafka CERTFR-2026-AVI-0462 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0463 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0464 : Vulnérabilité dans Typo3 CERTFR-2026-AVI-0465 : Vulnérabilité dans Mattermost Server CERTFR-2026-AVI-0466 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0467 : Multiples vulnérabilités dans Oracle Database Server CERTFR-2026-AVI-0468 : Multiples vulnérabilités dans Oracle Java SE CERTFR-2026-AVI-0469 :