Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 18 mai 2026 N° CERTFR-2026-ACT-022 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-022 Gestion du document Référence CERTFR-2026-ACT-022 Titre Bulletin d'actualité CERTFR-2026-ACT-022 Date de la première version 18 mai 2026 Date de la dernière version 18 mai 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 20 Tableau récapitulatif : Vulnérabilités critiques du 11/05/26 au 17/05/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Microsoft Exchange Server Subscription Edition RTM, Exchange Server 2019 Cumulative Update 14, Exchange Server 2016 Cumulative Update 23, Exchange Server 2019 Cumulative Update 15 CVE-2026-42897 8.1 (NVD) Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité 14/05/2026 Exploitée CERTFR-2026-AVI-0599 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897 F5 NGINX Plus, NGINX OpenSource CVE-2026-42945 8.1 (NVD) Exécution de code arbitraire à distance 13/05/2026 Exploitée CERTFR-2026-AVI-0591 https://my.f5.com/manage/s/article/K000161019 Traefik Traefik CVE-2026-44774 Contournement de la politique de sécurité 11/05/2026 Code d'exploitation public CERTFR-2026-AVI-0561 https://github.com/traefik/traefik/security/advisories/GHSA-96qj-4jj5-wcjc Apple macOS, iPadOS, watchOS, tvOS, visionOS, iOS CVE-2026-28992 Déni de service à distance 11/05/2026 Code d'exploitation public CERTFR-2026-AVI-0563 https://support.apple.com/en-us/127110 https://support.apple.com/en-us/127111 https://support.apple.com/en-us/127115 https://support.apple.com/en-us/127116 https://support.apple.com/en-us/127117 https://support.apple.com/en-us/127118 https://support.apple.com/en-us/127119 https://support.apple.com/en-us/127120 MongoDB Ops Manager Server CVE-2026-33937 9.8 (NVD) Exécution de code arbitraire à distance 12/05/2026 Pas d'information CERTFR-2026-AVI-0581 https://www.mongodb.com/docs/ops-manager/current/release-notes/application/#onprem-server-8.0.23 Ubuntu Ubuntu CVE-2025-68263 9.8 (NVD) Non spécifié par l'éditeur 11/05/2026 Pas d'information CERTFR-2026-AVI-0602 https://ubuntu.com/security/notices/USN-8261-1 https://ubuntu.com/security/notices/USN-8260-1 https://ubuntu.com/security/notices/USN-8258-1 https://ubuntu.com/security/notices/USN-8265-1 SAP S/4HANA CVE-2026-34260 9.6 (NVD) Exécution de code arbitraire à distance, Déni de service à distance, Atteinte à la confidentialité des données, Atteinte à l'intégrité des données, Injection SQL (SQLi) 12/05/2026 Pas d'information CERTFR-2026-AVI-0567 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html SAP Commerce Cloud CVE-2026-34263 9.6 (NVD) Exécution de code arbitraire à distance, Atteinte à la confidentialité des données, Contournement de la politique de sécurité 12/05/2026 Pas d'information CERTFR-2026-AVI-0567 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html Microsoft Edge CVE-2026-7908 9.6 (NVD) Contournement de la politique de sécurité 07/05/2026 Pas d'information CERTFR-2026-AVI-0557 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7908 Microsoft Edge CVE-2026-7910 9.6 (NVD) Contournement de la politique de sécurité 07/05/2026 Pas d'information CERTFR-2026-AVI-0557 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7910 PHP PHP CVE-2026-6722 9.5 (NVD) Exécution de code arbitraire à distance 07/05/2026 Pas d'information CERTFR-2026-AVI-0553 https://www.php.net/ChangeLog-8.php#8.2.31 https://www.php.net/ChangeLog-8.php#8.4.21 https://www.php.net/ChangeLog-8.php#8.3.31 https://www.php.net/ChangeLog-8.php#8.5.6 Siemens SIMATIC S7 PLCs Web Server CVE-2026-25786 9.3 (NVD) Exécution de code arbitraire à distance 12/05/2026 Pas d'information CERTFR-2026-AVI-0565 https://cert-portal.siemens.com/productcert/html/ssa-688146.html Siemens SIMATIC S7 PLCs Web Server CVE-2026-25787 9.3 (NVD) Exécution de code arbitraire à distance 12/05/2026 Pas d'information CERTFR-2026-AVI-0565 https://cert-portal.siemens.com/productcert/html/ssa-688146.html CVE-2026-20182 : Vulnérabilité dans Cisco Catalyst SD-WAN Le 14 mai 2026, Cisco a publié un avis de sécurité relatif à la vulnérabilité CVE-2026-20182 affectant Catalyst SD-WAN. Cette vulnérabilité permet à un attaquant non authentifié de contourner l'authentification et d'obtenir des privilèges d'administrateur sur le système ciblé. L'éditeur a produit des versions correctives ainsi que des recommandations sur la préservation de preuves et de recherches de compromission. La CISA l'a ajoutée à son catalogue des vulnérabilités réputées exploitées le 14 mai 2026. Avis CERT-FR CERTFR-2026-AVI-0594 du 15 mai 2026 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW Rappel des alertes CERT-FR Vulnérabilité dans Microsoft Exchange Server Le 14 mai 2026, Microsoft a publié un avis de sécurité concernant la vulnérabilité CVE-2026-42897 affectant Exchange Server. Elle permet à un attaquant non authentifié de provoquer une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité lorsqu'un utilisateur ouvre un courriel piégé dans Outlook Web Access. Microsoft indique que la vulnérabilité CVE-2026-42897 est activement exploitée. Liens : Bulletin de sécurité Microsoft CVE-2026-42897 Compromission d'un compte de messagerie - Qualification Compromission d'un compte de messagerie - Endiguement [1] Service de contournement d'urgence pour Exchange [2] Billet de blogue de l'équipe Exchange Avis CERT-FR CERTFR-2026-AVI-0599 du 15 mai 2026 CVE-2026-42897 Incidents Attaque par la chaîne d’approvisionnement de plusieurs paquets npm TanStack Le 11 mai 2026, plusieurs paquets NPM TanStack ont été compromis. L'avis de sécurité fournit la liste des versions des paquets réputés compromis. Des indicateurs de compromission (non qualifiés par le CERT-FR) sont fournis dans le billet de blogue. Le CERT-FR a connaissance d'exploitations par cette chaîne d'approvisionnement. Liens : https://github.com/TanStack/router/security/advisories/GHSA-g7cv-rxg3-hmpx https://tanstack.com/blog/npm-supply-chain-compromise-postmortem#ioc-fingerprints-for-downstream-maintainers-and-security-tools Rappel des publications émises Dans la période du 11 mai 2026 au 17 mai 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0553 : Multiples vulnérabilités dans PHP CERTFR-2026-AVI-0554 : Multiples vulnérabilités dans les produits Spring CERTFR-2026-AVI-0555 : Multiples vulnérabilités dans les produits Mozilla CERTFR-2026-AVI-0556 : Multiples vulnérabilités dans les produits VMware CERTFR-2026-AVI-0557 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0558 : Multiples vulnérabilités dans Microsoft Azure Linux CERTFR-2026-AVI-0559 : Multiples vulnérabilités dans PostgreSQL PgBouncer CERTFR-2026-AVI-0560 : Vulnérabilité dans CPython CERTFR-2026-AVI-0561 : Vulnérabilité dans Traefik CERTFR-2026-AVI-0562 : Multiples vulnérabilités dans LibreNMS CERTFR-2026-AVI-0563 : Multiples vulnérabilités dans les produits Apple CERTFR-2026-AVI-0564 : Multiples vulnérabilités dans SPIP CERTFR-2026-AVI-0565 : Multiples vulnérabilités dans les produits Siemens CERTFR-2026-AVI-0566 : Multiples vulnérabilités dans les produits Schneider Electric CERTFR-2026-AVI-0567 : Multiples vulnérabilités dans les produits SAP CERTFR-2026-AVI-0568 : Multiples vulnérabilités dans les produits Axis CERTFR-2026-AVI-0569 : Multiples vulnérabilités dans les produits Nextcloud CERTFR-2026-AVI-0570 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0571 : Multiples vulnérabilités dans Microsoft Azure CERTFR-2026-AVI-0572 : Multiples vulnérabilités dans les produits Centreon CERTFR-2026-AVI-0573 : Multiples vulnérabilités dans les produits HPE Aruba Networking CERTFR-2026-AVI-0574 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0575 : Multiples vulnérabilités dans les produits Fortinet CERTFR-2026-AVI-0576 : Multiples vulnérabilités dans les produits Ivanti CERTFR-2026-AVI-0577 : Multiples vulnérabilités dans Apache Tomcat CERTFR-2026-AVI-0578 : Multiples vulnérabilités dans Mozilla Firefox CERTFR-2026-AVI-0579 : Vulnérabilité dans Xen CERTFR-2026-AVI-0580 : Multiples vulnérabilités dans les produits Adobe CERTFR-2026-AVI-0581 : Multiples vulnérabilités dans MongoDB CERTFR-2026-AVI-0582 : Multiples vulnérabilités dans les produits Intel CERTFR-2026-AVI-0583 : Multiples vulnérabilités dans les produits Nextcloud CERTFR-2026-AVI-0584 : Multiples vulnérabilités dans Microsoft Office CERTFR-2026-AVI-0585 : Multiples vulnérabilités dans Microsoft Windows CERTFR-2026-AVI-0586 : Multiples vulnérabilités dans Microsoft .Net CERTFR-2026-AVI-0587 : Multiples vulnérabilités dans Microsoft Azure CERTFR-2026-AVI-0588 : Multiples vulnérabilités dans les produits Microsoft CERTFR-2026-AVI-0589 : Vulnérabilité dans Exim CERTFR-2026-AVI-0590 : Multiples vulnérabilités dans Apple Safari CERTFR-2026-AVI-0591 : Multiples vulnérabilités dans les produits F5 CERTFR-2026-AVI-0592 : Multiples vulnérabilités dans Tenable Network Monitor CERTFR-2026-AVI-0593 : Multiples vul