Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 01 juin 2026 N° CERTFR-2026-ACT-024 Affaire suivie par: CERT-FR Bulletin d'actualité du CERT-FR Objet: Bulletin d'actualité CERTFR-2026-ACT-024 Gestion du document Référence CERTFR-2026-ACT-024 Titre Bulletin d'actualité CERTFR-2026-ACT-024 Date de la première version 01 juin 2026 Date de la dernière version 01 juin 2026 Source(s) Une gestion de version détaillée se trouve à la fin de ce document. Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs. Vulnérabilités significatives de la semaine 22 Tableau récapitulatif : Vulnérabilités critiques du 25/05/26 au 31/05/26 Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur Joomla! Joomla! CVE-2026-48902 9.8 (NVD) Contournement de la politique de sécurité 26/05/2026 Pas d'information CERTFR-2026-AVI-0618 https://developer.joomla.org/security-centre/1050-20260518-core-transport-encryption-downgrade-for-password-and-username-reset-links.html Veeam Veeam Service Provider Console CVE-2026-32998 9.4 (NVD) Exécution de code arbitraire à distance 27/05/2026 Pas d'information CERTFR-2026-AVI-0657 https://www.veeam.com/kb4853 https://www.veeam.com/kb4856 Oracle Database Server CVE-2026-46833 9 (NVD) Atteinte à la confidentialité des données, Atteinte à l'intégrité des données 28/05/2026 Pas d'information CERTFR-2026-AVI-0662 https://www.oracle.com/security-alerts/cspumay2026.html Samba Samba CVE-2026-4408 10 (Samba) Exécution de code arbitraire à distance 26/05/2026 Pas d'information CERTFR-2026-AVI-0651 https://www.samba.org/samba/security/CVE-2026-4408.html Samba Samba CVE-2026-4480 10 (Samba) Exécution de code arbitraire à distance 26/05/2026 Pas d'information CERTFR-2026-AVI-0651 https://www.samba.org/samba/security/CVE-2026-4480.html Multiples Vulnérabilités dans Roundcube Le 24 mai 2026, Roundcube a publié un avis concernant plusieurs vulnérabilités permettant par exemple, une exécution de code arbitraire à distance et une injection SQL sans authentification. Ces vulnérabilités sont corrigées dans les versions 1.6.16 et 1.7.1. Liens https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1 Autres vulnérabilités Tableau récapitulatif : Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur Litespeedtech Litespeed Whm Plugin, Litespeed Cpanel Plugin CVE-2026-48172 10 Élévation de privilèges 21/05/2026 Exploitée https://blog.litespeedtech.com/2026/05/21/security-update-for-litespeed-cpanel-plugin/ Disc-Soft Daemon Tools CVE-2026-8398 9.3 Contournement de la politique de sécurité 15/05/2026 Exploitée https://blog.daemon-tools.cc/post/security-incident Nx Nx Console CVE-2026-48027 9.3 Non spécifié par l'éditeur 27/05/2026 Exploitée https://nx.dev/blog/nx-console-v18-95-0-postmortem#indicators-of-compromise SonicWALL SonicOS CVE-2024-12802 9.1 Contournement de la politique de sécurité 09/01/2025 Exploitée https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0001 Paloalto networks Pan-Os, Prisma Access CVE-2026-0257 7.8 Contournement de la politique de sécurité 13/05/2026 Exploitée https://security.paloaltonetworks.com/CVE-2026-0257 Mediaarea Mediainfolib CVE-2026-25104 7.8 Non spécifié par l'éditeur 26/05/2026 Code d'exploitation public Mediaarea Mediainfolib CVE-2026-25713 7.8 Non spécifié par l'éditeur 26/05/2026 Code d'exploitation public Rappel des publications émises Dans la période du 25 mai 2026 au 31 mai 2026, le CERT-FR a émis les publications suivantes : CERTFR-2026-AVI-0643 : Vulnérabilité dans Nginx CERTFR-2026-AVI-0644 : Multiples vulnérabilités dans Roundcube CERTFR-2026-AVI-0645 : Vulnérabilité dans Firefox pour iOS CERTFR-2026-AVI-0646 : Vulnérabilité dans Spring AI CERTFR-2026-AVI-0647 : Vulnérabilité dans CPython CERTFR-2026-AVI-0648 : Multiples vulnérabilités dans Kaspersky Anti Targeted Attack Platform CERTFR-2026-AVI-0649 : Multiples vulnérabilités dans Joomla! CERTFR-2026-AVI-0650 : Multiples vulnérabilités dans les produits Check Point CERTFR-2026-AVI-0651 : Multiples vulnérabilités dans Samba CERTFR-2026-AVI-0652 : Multiples vulnérabilités dans Veeam Backup & Replication CERTFR-2026-AVI-0653 : Multiples vulnérabilités dans Symfony CERTFR-2026-AVI-0654 : Vulnérabilité dans Apereo CAS CERTFR-2026-AVI-0655 : Multiples vulnérabilités dans Google Chrome CERTFR-2026-AVI-0656 : Vulnérabilité dans les produits NetApp CERTFR-2026-AVI-0657 : Multiples vulnérabilités dans les produits Veeam CERTFR-2026-AVI-0658 : Multiples vulnérabilités dans GitLab CERTFR-2026-AVI-0659 : Multiples vulnérabilités dans Centreon Web CERTFR-2026-AVI-0660 : Multiples vulnérabilités dans les produits Mattermost CERTFR-2026-AVI-0661 : Multiples vulnérabilités dans Elastic Kibana CERTFR-2026-AVI-0662 : Multiples vulnérabilités dans Oracle Database Server CERTFR-2026-AVI-0663 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu CERTFR-2026-AVI-0664 : Multiples vulnérabilités dans le noyau Linux de SUSE CERTFR-2026-AVI-0665 : Multiples vulnérabilités dans le noyau Linux de Red Hat CERTFR-2026-AVI-0666 : Multiples vulnérabilités dans le noyau Linux de Debian CERTFR-2026-AVI-0667 : Multiples vulnérabilités dans les produits IBM Gestion détaillée du document le 01 juin 2026 Version initiale