Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 26 mai 2026 N° CERTFR-2026-ACT-023 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-023 Gestion du document Référence CERTFR-2026-ACT-023 Titre Bulletin d'actualité CERTFR-2026-ACT-023 Date de la première version 26 mai 2026 Date de la dernière version 26 mai 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 21 Tableau récapitulatif : Vulnérabilités critiques du 18/05/26 au 24/05/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Drupal Drupal CVE-2026-9082 9.8 (NVD) Injection SQL (SQLi) 20/05/2026 Exploitée CERTFR-2026-AVI-0629 https://drupal.org/sa-core-2026-004 F5 NGINX CVE-2026-42945 9.2 (NVD) Exécution de code arbitraire à distance, Déni de service à distance 19/05/2026 Exploitée CERTFR-2026-AVI-0612 https://my.f5.com/manage/s/article/K000161307 Microsoft Azure CVE-2026-42945 9.2 (NVD) Exécution de code arbitraire à distance, Déni de service à distance 19/05/2026 Exploitée CERTFR-2026-AVI-0612 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42945 Microsoft Malware Protection Engine CVE-2026-41091 7.8 (NVD) Contournement de la politique de sécurité 19/05/2026 Exploitée CERTFR-2026-AVI-0623 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41091 Microsoft Defender Antimalware Platform CVE-2026-45498 7.5 (NVD) Déni de service 19/05/2026 Exploitée CERTFR-2026-AVI-0623 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498 Trend Micro Apex One, Vision One CVE-2026-34926 6.7 (NVD) Contournement de la politique de sécurité 21/05/2026 Exploitée CERTFR-2026-AVI-0642 https://success.trendmicro.com/en-US/solution/KA-0023430 Microsoft Windows Server 2025, Windows 11 25H2, Windows 11 24H2, Windows 11 26H1 CVE-2026-45585 6.8 (NVD) Contournement de la politique de sécurité 19/05/2026 Code d'exploitation public CERTFR-2026-AVI-0622 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585 Cisco Secure Workload CVE-2026-20223 10 (NVD) Contournement de la politique de sécurité 20/05/2026 Pas d'information CERTFR-2026-AVI-0628 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csw-pnbsa-g8WEnuy Microsoft Azure CVE-2026-42822 10 (NVD) Contournement de la politique de sécurité 18/05/2026 Pas d'information CERTFR-2026-AVI-0611 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42822 Ubuntu Ubuntu CVE-2026-22984 9.8 (NVD) Atteinte à la confidentialité des données 20/05/2026 Pas d'information CERTFR-2026-AVI-0638 https://ubuntu.com/security/notices/USN-8278-1 https://ubuntu.com/security/notices/USN-8289-1 Ubuntu Ubuntu CVE-2026-31533 9.8 (NVD) Non spécifié par l'éditeur 20/05/2026 Pas d'information CERTFR-2026-AVI-0638 https://ubuntu.com/security/notices/USN-8280-1 https://ubuntu.com/security/notices/USN-8279-1 https://ubuntu.com/security/notices/USN-8278-1 https://ubuntu.com/security/notices/USN-8277-1 https://ubuntu.com/security/notices/USN-8289-1 Ubuntu Ubuntu CVE-2026-23112 9.8 (NVD) Non spécifié par l'éditeur 19/05/2026 Pas d'information CERTFR-2026-AVI-0638 https://ubuntu.com/security/notices/USN-8275-1 https://ubuntu.com/security/notices/USN-8255-3 https://ubuntu.com/security/notices/USN-8254-3 https://ubuntu.com/security/notices/USN-8273-1 IBM Db2 CVE-2025-59059 9.8 (NVD) Exécution de code arbitraire à distance, Exécution de code arbitraire 18/05/2026 Pas d'information CERTFR-2026-AVI-0641 https://www.ibm.com/support/pages/node/7273312 IBM Db2 CVE-2026-29045 9.8 (NVD) Contournement de la politique de sécurité 18/05/2026 Pas d'information CERTFR-2026-AVI-0641 https://www.ibm.com/support/pages/node/7273312 Microsoft Edge Chromium CVE-2026-45495 9.8 (NVD) Exécution de code arbitraire à distance 15/05/2026 Pas d'information CERTFR-2026-AVI-0607 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45495 Microsoft Edge CVE-2026-8511 9.6 (NVD) Contournement de la politique de sécurité 15/05/2026 Pas d'information CERTFR-2026-AVI-0607 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-8511 Microsoft Edge CVE-2026-8580 9.6 (NVD) Contournement de la politique de sécurité 15/05/2026 Pas d'information CERTFR-2026-AVI-0607 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-8580 F5 NGINX CVE-2026-8711 9.2 (NVD) Exécution de code arbitraire à distance 19/05/2026 Pas d'information CERTFR-2026-AVI-0619 https://my.f5.com/manage/s/article/K000161307 Microsoft Azure CVE-2026-33845 9.1 (NVD) Déni de service à distance, Atteinte à la confidentialité des données 07/05/2026 Pas d'information CERTFR-2026-AVI-0612 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33845 CVE-2026-9082 : Vulnérabilité dans Drupal La vulnérabilité CVE-2026-9082 permet une injection SQL (SQLi) sur les applications vulnérables qui utilisent PostgreSQL comme système de gestion de base de données. Des codes d'attaques sont publiquement disponibles pour cette vulnérabilité et celle-ci est activement exploitée. Liens : https://cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0629/ https://drupal.org/sa-core-2026-004 Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Microsoft Windows Server 2008, Windows Vista, Windows Xp, Windows Server 2003, Windows 2000 CVE-2008-4250 9.8 Exécution de code arbitraire à distance Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-067 https://exchange.xforce.ibmcloud.com/vulnerabilities/46040 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2008-4250 Langflow Langflow CVE-2025-34291 9.4 Exécution de code arbitraire à distance Exploitée https://github.com/langflow-ai/langflow https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-34291 https://www.crowdsec.net/vulntracking-report/cve-2025-34291 Microsoft Windows 2003 Server, Windows Xp, Directx, Windows Server 2003, Windows 2000 CVE-2009-1537 8.8 Exécution de code arbitraire à distance, Non spécifié par l'éditeur Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-028 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-1537 Adobe Acrobat, Acrobat Reader CVE-2009-3459 8.8 Exécution de code arbitraire à distance Exploitée http://blogs.adobe.com/psirt/2009/10/adobe_reader_and_acrobat_issue_1.html https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-3459 Microsoft Internet Explorer CVE-2010-0249 8.8 Exécution de code arbitraire à distance, Contournement de la politique de sécurité Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-002 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-0249 Microsoft Internet Explorer CVE-2010-0806 8.8 Exécution de code arbitraire à distance Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-018 < https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-0806 Google Chrome CVE-2026-5902 9.8 Atteinte à l'intégrité des données 09/04/2026 Code d'exploitation public https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop.html Microsoft Edge CVE-2026-5902 9.8 Atteinte à l'intégrité des données 09/04/2026 Code d'exploitation public https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5902 Linuxfoundation Vitess CVE-2026-27969 9.3 Non spécifié par l'éditeur Code d'exploitation public https://github.com/vitessio/vitess/commit/c565cab615bc962bda061dcd645aa7506c59ca4a https://github.com/vitessio/vitess/pull/19470 https://github.com/vitessio/vitess/security/advisories/GHSA-r492-hjgh-c9gw Microsoft Azure CVE-2026-27965 8.4 Exécution de code arbitraire 04/03/2026 Code d'exploitation public https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-27965 Linux Linux Kernel CVE-2026-31635 7.5 Non spécifié par l'éditeur Code d'exploitation public https://git.kernel.org/stable/c/a2567217ade970ecc458144b6be469bc015b23e5 https://git.kernel.org/stable/c/beee051f259acd286fed64c32c2b31e6f5097eb5 https://git.kernel.org/stable/c/e2f1a80d8b1ed6a5ae585a399c2b46500bdcc305 Multiples vulnérabilités dans le noyau Linux Ces dernières semaines, de nombreuses vulnérabilités permettant une élévation de privilège ont été découvertes dans le noyau Linux. Des preuves de concept sont disponibles publiquement et elles sont réputées activement exploitées. Certains correctifs sont disponibles, mais pas forcément pour toutes les distributions ainsi que pour les produits qui utilisent Linux comme système d'exploitation. Dirty Frag : CVE-2026-43284 et CVE-2026-43500 Fragnesia : CVE-2026-46300 Copy Fail : CVE-2026-31431 Dirty Decrypt / Dirty CBC : pas d'identifiant CVE officiel, mais possiblement lié à la vulnérabilité CVE-2026-31635 Pintheft : CVE-2026-43494 Liens : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-020/ https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-021/ https://www.qnap.com/fr-fr/security-advisory/qsa-26-17 https://www.axis.com/dam/public/d6/39/96/copy-fail-attackpdf-en-US-535190.pdf http