Bulletin d'actualité CERTFR-2026-ACT-010

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 10

Tableau récapitulatif :

Vulnérabilités critiques du 02/03/26 au 08/03/26

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Google	Android	CVE-2026-21385	7.8 (NVD)	Non spécifié par l'éditeur	02/03/2026	Exploitée	CERTFR-2026-AVI-0231	https://source.android.com/docs/security/bulletin/2026/2026-03-01?hl=fr
Traefik	Traefik	CVE-2026-29054	7.5 (NVD)	Contournement de la politique de sécurité	04/03/2026	Code d'exploitation public	CERTFR-2026-AVI-0236	https://github.com/traefik/traefik/security/advisories/GHSA-92mv-8f8w-wq52
Nextcloud	Flow	CVE-2026-29059	6.9 (NVD)	Exécution de code arbitraire à distance	06/03/2026	Code d'exploitation public	CERTFR-2026-AVI-0244	https://github.com/nextcloud/security-advisories/security/advisories/GHSA-g7vj-98x3-qvjf
Traefik	Traefik	CVE-2026-26998	4.4 (NVD)	Déni de service à distance	04/03/2026	Code d'exploitation public	CERTFR-2026-AVI-0236	https://github.com/traefik/traefik/security/advisories/GHSA-fw45-f5q2-2p4x
Cisco	FMC	CVE-2026-20079	10 (NVD)	Contournement de la politique de sécurité	04/03/2026	Pas d'information	CERTFR-2026-AVI-0242	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-onprem-fmc-authbypass-5JPp45V2
Cisco	ASA, FMC, FTD	CVE-2026-20131	10 (NVD)	Exécution de code arbitraire à distance	04/03/2026	Pas d'information	CERTFR-2026-AVI-0242	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
Google	Android	CVE-2026-0006	9.8 (NVD)	Exécution de code arbitraire à distance	02/03/2026	Pas d'information	CERTFR-2026-AVI-0231	https://source.android.com/docs/security/bulletin/2026/2026-03-01?hl=fr
Google	Android	CVE-2025-13952	9.8 (NVD)	Déni de service à distance	02/03/2026	Pas d'information	CERTFR-2026-AVI-0231	https://source.android.com/docs/security/bulletin/2026/2026-03-01?hl=fr
Google	Android	CVE-2025-48645	9.8 (NVD)	Élévation de privilèges, Contournement de la politique de sécurité	02/03/2026	Pas d'information	CERTFR-2026-AVI-0231	https://source.android.com/docs/security/bulletin/2026/2026-03-01?hl=fr
Google	Chrome	CVE-2026-3545	9.6 (NVD)	Contournement de la politique de sécurité	03/03/2026	Pas d'information	CERTFR-2026-AVI-0239	https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop.html
Microsoft	azl3	CVE-2026-27969	9.3 (NVD)	Atteinte à l'intégrité des données	27/02/2026	Pas d'information	CERTFR-2026-AVI-0237	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-27969
Google	Android	CVE-2025-48609	9.1 (NVD)	Déni de service	02/03/2026	Pas d'information	CERTFR-2026-AVI-0231	https://source.android.com/docs/security/bulletin/2026/2026-03-01?hl=fr

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Cisco	Catalyst SD-WAN	CVE-2026-20127	10	Contournement de la politique de sécurité	25/02/2026	Exploitée	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
Apple	Macos, Visionos, Iphone Os, Ipados, Tvos	CVE-2024-23222	8.8	Exécution de code arbitraire à distance, Contournement de la politique de sécurité	22/01/2024	Exploitée	https://support.apple.com/en-us/HT214055 https://support.apple.com/en-us/HT214059 https://support.apple.com/en-us/HT214061 https://support.apple.com/kb/HT214055 https://support.apple.com/kb/HT214056 https://support.apple.com/kb/HT214057 https://support.apple.com/kb/HT214058 https://support.apple.com/kb/HT214059 https://support.apple.com/kb/HT214061 https://support.apple.com/kb/HT214063 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-23222
VMware	Aria Operations	CVE-2026-22719	8.1	Exécution de code arbitraire à distance	24/02/2026	Exploitée	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947
Cisco	Catalyst Sd-Wan Manager	CVE-2026-20128	7.5	Non spécifié par l'éditeur	25/02/2026	Exploitée	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
Cisco	Catalyst Sd-Wan Manager	CVE-2026-20122	5.4	Contournement de la politique de sécurité	25/02/2026	Exploitée	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
Libbiosig_project		CVE-2026-22891	9.8	Exécution de code arbitraire à distance	03/03/2026	Code d'exploitation public
Juniper Networks	Junos OS Evolved	CVE-2026-21902	9.3	Exécution de code arbitraire à distance	25/02/2026	Code d'exploitation public	https://supportportal.juniper.net/s/article/2026-02-Out-of-Cycle-Security-Bulletin-Junos-OS-Evolved-PTX-Series-A-vulnerability-allows-a-unauthenticated-network-based-attacker-to-execute-code-as-root-CVE-2026-21902
Spip	Referer Spam	CVE-2026-27743	9.3	Exécution de code arbitraire à distance, Injection SQL (SQLi)	26/02/2026	Code d'exploitation public	https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-10.html
Spip	Tickets	CVE-2026-27744	9.3	Exécution de code arbitraire à distance	26/02/2026	Code d'exploitation public	https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-10.html
Mindsdb	Mindsdb	CVE-2026-27483	8.8	Exécution de code arbitraire à distance	22/02/2026	Code d'exploitation public	https://github.com/mindsdb/mindsdb/security/advisories/GHSA-4894-xqv6-vrfq
Tp-link		CVE-2026-0652	8.7	Exécution de code arbitraire à distance, Atteinte à la confidentialité des données, Atteinte à l'intégrité des données, Contournement de la politique de sécurité	11/02/2026	Code d'exploitation public	https://www.tp-link.com/us/support/faq/4960/
Libbiosig_project		CVE-2026-20777	8.1	Exécution de code arbitraire à distance	03/03/2026	Code d'exploitation public
Chatterbot	Chatterbot	CVE-2026-23842	7.5	Déni de service à distance	17/01/2026	Code d'exploitation public	https://github.com/gunthercox/ChatterBot/security/advisories/GHSA-v4w8-49pv-mf72
Tp-link		CVE-2026-0653	7.2	Exécution de code arbitraire à distance, Atteinte à la confidentialité des données, Contournement de la politique de sécurité	11/02/2026	Code d'exploitation public	https://www.tp-link.com/us/support/faq/4960/
Libbiosig_project		CVE-2025-64736	7.1	Atteinte à la confidentialité des données	03/03/2026	Code d'exploitation public
Tp-link		CVE-2026-0651	5.3	Exécution de code arbitraire à distance, Contournement de la politique de sécurité	11/02/2026	Code d'exploitation public	https://www.tp-link.com/us/support/faq/4960/

Rappel des publications émises

Dans la période du 02 mars 2026 au 08 mars 2026, le CERT-FR a émis les publications suivantes :

CERTFR-2026-AVI-0228 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2026-AVI-0229 : Multiples vulnérabilités dans MISP
CERTFR-2026-AVI-0230 : Multiples vulnérabilités dans Docker Desktop
CERTFR-2026-AVI-0231 : Multiples vulnérabilités dans Google Android
CERTFR-2026-AVI-0232 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2026-AVI-0233 : Multiples vulnérabilités dans Google Pixel
CERTFR-2026-AVI-0234 : Vulnérabilité dans Tenable Nessus Manager
CERTFR-2026-AVI-0235 : Multiples vulnérabilités dans HPE Aruba Networking AOS
CERTFR-2026-AVI-0236 : Multiples vulnérabilités dans Traefik
CERTFR-2026-AVI-0237 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2026-AVI-0238 : Vulnérabilité dans NetApp ONTAP 9
CERTFR-2026-AVI-0239 : Multiples vulnérabilités dans Google Chrome
CERTFR-2026-AVI-0240 : Vulnérabilité dans CPython
CERTFR-2026-AVI-0241 : Vulnérabilité dans ClamAV
CERTFR-2026-AVI-0242 : Multiples vulnérabilités dans les produits Cisco
CERTFR-2026-AVI-0243 : Vulnérabilité dans SPIP
CERTFR-2026-AVI-0244 : Vulnérabilité dans Nextcloud Flow
CERTFR-2026-AVI-0245 : Vulnérabilité dans Zabbix
CERTFR-2026-AVI-0246 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2026-AVI-0247 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2026-AVI-0248 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2026-AVI-0249 : Multiples vulnérabilités dans les produits IBM

Dans la période du 02 mars 2026 au 08 mars 2026, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2026-AVI-0217 : Multiples vulnérabilités dans SPIP

Référence	CERTFR-2026-ACT-010
Titre	Bulletin d'actualité CERTFR-2026-ACT-010
Date de la première version	09 mars 2026
Date de la dernière version	09 mars 2026
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-010

Gestion du document

Vulnérabilités significatives de la semaine 10

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

Rappel des publications émises

Gestion détaillée du document