Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 23 février 2026 N° CERTFR-2026-ACT-008 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-008 Gestion du document Référence CERTFR-2026-ACT-008 Titre Bulletin d'actualité CERTFR-2026-ACT-008 Date de la première version 23 février 2026 Date de la dernière version 23 février 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 8 Tableau récapitulatif : Vulnérabilités critiques du 16/02/26 au 22/02/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Microsoft Edge CVE-2026-2441 8.8 (NVD) Exécution de code arbitraire 17/02/2026 Exploitée CERTFR-2026-AVI-0172 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-2441 Google Chrome CVE-2026-2441 8.8 (NVD) Exécution de code arbitraire 17/02/2026 Exploitée CERTFR-2026-AVI-0172 https://chromereleases.googleblog.com/2026/02/extended-stable-updates-for-desktop_13.html https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_13.html LibreNMS LibreNMS CVE-2026-26988 9.3 (NVD) Injection SQL (SQLi) 17/02/2026 Code d'exploitation public CERTFR-2026-AVI-0174 https://github.com/librenms/librenms/security/advisories/GHSA-h3rv-q4rq-pqcv LibreNMS LibreNMS CVE-2026-26990 8.8 (NVD) Injection SQL (SQLi) 17/02/2026 Code d'exploitation public CERTFR-2026-AVI-0174 https://github.com/librenms/librenms/security/advisories/GHSA-79q9-wc6p-cf92 LibreNMS LibreNMS CVE-2026-26987 5.3 (NVD) Injection de code indirecte à distance (XSS) 17/02/2026 Code d'exploitation public CERTFR-2026-AVI-0174 https://github.com/librenms/librenms/security/advisories/GHSA-gqx7-99jw-6fpr LibreNMS LibreNMS CVE-2026-26989 4.8 (NVD) Injection de code indirecte à distance (XSS) 17/02/2026 Code d'exploitation public CERTFR-2026-AVI-0174 https://github.com/librenms/librenms/security/advisories/GHSA-6xmx-xr9p-58p7 Traefik Traefik CVE-2025-68121 10 (NVD) Contournement de la politique de sécurité 20/02/2026 Pas d'information CERTFR-2026-AVI-0191 https://github.com/traefik/traefik/security/advisories/GHSA-gv8r-9rw9-9697 Tenable Security Center CVE-2021-46743 9.1 (NVD) Contournement de la politique de sécurité 18/02/2026 Pas d'information CERTFR-2026-AVI-0187 https://www.tenable.com/security/tns-2026-07 Splunk Splunk AppDynamics Smart Agent CVE-2025-22871 9.1 (NVD) Contournement de la politique de sécurité 18/02/2026 Pas d'information CERTFR-2026-AVI-0188 https://advisory.splunk.com/advisories/SVD-2026-0211 Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Teamt5 Threatsonar Anti-Ransomware CVE-2024-7694 7.2 Non spécifié par l'éditeur 12/08/2024 Exploitée https://www.twcert.org.tw/en/cp-139-8000-e5a5c-2.html https://www.twcert.org.tw/tw/cp-132-7998-d76dd-1.html Roundcube Webmail CVE-2025-68461 7.2 Injection de code indirecte à distance (XSS) 13/12/2025 Exploitée https://roundcube.net/news/2025/12/13/security-updates-1.6.12-and-1.5.12 Microsoft Windows 2003 Server, Windows Xp CVE-2008-0015 8.8 Exécution de code arbitraire à distance 14/07/2009 Exploitée https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-032 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-037 Synacor Zimbra Collaboration Suite CVE-2020-7796 9.8 Falsification de requêtes côté serveur (SSRF) 07/22/2019 Exploitée https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P7 Gitlab Gitlab CVE-2021-22175 9.8 Falsification de requêtes côté serveur (SSRF) 16/12/2020 Exploitée https://gitlab.com/gitlab-org/gitlab/-/issues/294178 Dell Recoverpoint For Virtual Machines CVE-2026-22769 10 Non spécifié par l'éditeur 17/02/2026 Exploitée https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079 Roundcube Webmail CVE-2025-49113 9.9 Exécution de code arbitraire à distance 01/06/2026 Exploitée https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10 Vulnérabilité dans IceWarp EPOS Le 19 février 2026, L'éditeur IceWarp a publié un bulletin de sécurité concernant deux vulnérabilités affectant l'interface WebClient d'EPOS. La première vulnérabilité permet à un attaquant de provoquer une injection de code indirecte à distance (XSS). La seconde permet à un attaquant de provoquer une atteinte à confidentialité. Les systèmes affectés sont : IceWarp Epos versions 14.2.x antérieures à 14.2.0.12 IceWarp Epos versions 14.1.x antérieures à 14.1.0.20 Liens : https://support.icewarp.com/hc/en-us/articles/43185223566609-IceWarp-Security-Update-for-EPOS Rappel des publications émises Dans la période du 16 février 2026 au 22 février 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0172 : Vulnérabilité dans Google Chrome CERTFR-2026-AVI-0173 : Multiples vulnérabilités dans les produits Mattermost CERTFR-2026-AVI-0174 : Multiples vulnérabilités dans LibreNMS CERTFR-2026-AVI-0175 : Multiples vulnérabilités dans les produits Mozilla CERTFR-2026-AVI-0176 : Vulnérabilité dans Mattermost Server CERTFR-2026-AVI-0177 : Multiples vulnérabilités dans Moodle CERTFR-2026-AVI-0178 : Multiples vulnérabilités dans Tenable Security Center CERTFR-2026-AVI-0179 : Multiples vulnérabilités dans SPIP CERTFR-2026-AVI-0180 : Vulnérabilité dans NetApp StorageGRID CERTFR-2026-AVI-0181 : Vulnérabilité dans Apache Tomcat CERTFR-2026-AVI-0182 : Multiples vulnérabilités dans Atlassian Confluence CERTFR-2026-AVI-0183 : Vulnérabilité dans HPE Aruba Networking ClearPass Policy Manager CERTFR-2026-AVI-0184 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0185 : Vulnérabilité dans Microsoft Windows CERTFR-2026-AVI-0186 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0187 : Multiples vulnérabilités dans Tenable Security Center CERTFR-2026-AVI-0188 : Multiples vulnérabilités dans les produits Splunk CERTFR-2026-AVI-0189 : Vulnérabilité dans F5 BIG-IP CERTFR-2026-AVI-0190 : Multiples vulnérabilités dans Microsoft Edge CERTFR-2026-AVI-0191 : Vulnérabilité dans Traefik CERTFR-2026-AVI-0192 : Multiples vulnérabilités dans le noyau Linux de Debian CERTFR-2026-AVI-0193 : Multiples vulnérabilités dans le noyau Linux de Red Hat CERTFR-2026-AVI-0194 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu CERTFR-2026-AVI-0195 : Multiples vulnérabilités dans le noyau Linux de SUSE CERTFR-2026-AVI-0196 : Multiples vulnérabilités dans les produits IBM Dans la période du 16 février 2026 au 22 février 2026, le CERT-FR a mis à jour les publications suivantes : CERTFR-2024-AVI-0858 : Multiples vulnérabilités dans Mitel Micollab CERTFR-2026-AVI-0052 : Multiples vulnérabilités dans Mattermost Server Gestion détaillée du document le 23 février 2026 Version initiale