Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 13 février 2026 N° CERTFR-2026-AVI-0163 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans HAProxy Gestion du document Référence CERTFR-2026-AVI-0163 Titre Multiples vulnérabilités dans HAProxy Date de la première version 13 février 2026 Date de la dernière version 13 février 2026 Source(s) Bulletin de sécurité HAProxy cves-2026-quic-denial-of-service du 12 février 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risque Déni de service à distance Systèmes affectés HAProxy ALOHA versions 16.5.x antérieures à 16.5.30 HAProxy ALOHA versions 17.0.x antérieures à 17.0.18 HAProxy ALOHA versions 17.5.x antérieures à 17.5.16 HAProxy Community / Performance Packages versions 3.0.x antérieures à 3.0.16 HAProxy Community / Performance Packages versions 3.1.x antérieures à 3.1.14 HAProxy Community / Performance Packages versions 3.2.x antérieures à 3.2.12 HAProxy Community / Performance Packages versions 3.3.x antérieures à 3.3.3 HAProxy Enterprise versions 3.0 antérieures à 3.0r1-1.0.0-351.929 HAProxy Enterprise versions 3.1 antérieures à 3.1r1-1.0.0-355.744 HAProxy Enterprise versions 3.2 antérieures à 3.2r1-1.0.0-365.548 Résumé De multiples vulnérabilités ont été découvertes dans HAProxy. Elles permettent à un attaquant de provoquer un déni de service à distance. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité HAProxy cves-2026-quic-denial-of-service du 12 février 2026 https://www.haproxy.com/blog/cves-2026-quic-denial-of-service Référence CVE CVE-2026-26080 https://www.cve.org/CVERecord?id=CVE-2026-26080 Référence CVE CVE-2026-26081 https://www.cve.org/CVERecord?id=CVE-2026-26081