Bulletin d'actualité CERTFR-2026-ACT-018

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 16

Tableau récapitulatif :

Vulnérabilités critiques du 13/04/26 au 19/04/26

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Microsoft	Defender	CVE-2026-33825	7.8 (NVD)	Élévation de privilèges	14/04/2026	Exploitée	CERTFR-2026-AVI-0445	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825
Adobe	Acrobat, Acrobat DC, Acrobat Reader DC	CVE-2026-34621	8.6 (NVD)	Exécution de code arbitraire	11/04/2026	Exploitée	CERTFR-2026-AVI-0429	https://helpx.adobe.com/security/products/acrobat/apsb26-43.html
Microsoft	Sharepoint Server	CVE-2026-32201	6.5 (NVD)	Contournement de la politique de sécurité	14/04/2026	Exploitée	CERTFR-2026-AVI-0445	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201
Fortinet	FortiProxy, FortiPAM, FortiOS, FortiSwitchManager	CVE-2025-61624	6 (NVD)	Contournement de la politique de sécurité	14/04/2026	Exploitée	CERTFR-2026-AVI-0440	https://www.fortiguard.com/psirt/FG-IR-26-122
Splunk	Splunk Operator for Kubernetes	CVE-2025-68121	10 (NVD)	Contournement de la politique de sécurité	15/04/2026	Pas d'information	CERTFR-2026-AVI-0450	https://advisory.splunk.com/advisories/SVD-2026-0408
Cisco	Identity Services Engine	CVE-2026-20147	9.9 (NVD)	Exécution de code arbitraire à distance	15/04/2026	Pas d'information	CERTFR-2026-AVI-0451	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-traversal-8bYndVrZ
Cisco	Identity Services Engine	CVE-2026-20180	9.9 (NVD)	Exécution de code arbitraire à distance	15/04/2026	Pas d'information	CERTFR-2026-AVI-0451	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-4fverepv
Cisco	Identity Services Engine	CVE-2026-20186	9.9 (NVD)	Exécution de code arbitraire à distance	15/04/2026	Pas d'information	CERTFR-2026-AVI-0451	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-4fverepv
SAP	Business Planning and Consolidation, Business Warehouse	CVE-2026-27681	9.9 (NVD)	Injection SQL (SQLi)	14/04/2026	Pas d'information	CERTFR-2026-AVI-0434	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html
Cisco	Webex	CVE-2026-20184	9.8 (NVD)	Contournement de la politique de sécurité	15/04/2026	Pas d'information	CERTFR-2026-AVI-0451	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-cui-cert-8jSZYhWL
Fortinet	FortiSandbox	CVE-2026-39808	9.8 (NVD)	Exécution de code arbitraire à distance	14/04/2026	Pas d'information	CERTFR-2026-AVI-0440	https://www.fortiguard.com/psirt/FG-IR-26-100
Fortinet	FortiSandbox	CVE-2026-39813	9.8 (NVD)	Élévation de privilèges	14/04/2026	Pas d'information	CERTFR-2026-AVI-0440	https://www.fortiguard.com/psirt/FG-IR-26-112
Microsoft	Windows	CVE-2026-33824	9.8 (NVD)	Exécution de code arbitraire à distance	14/04/2026	Pas d'information	CERTFR-2026-AVI-0442	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33824
Microsoft	Edge	CVE-2026-5902	9.8 (NVD)	Atteinte à l'intégrité des données	10/04/2026	Pas d'information	CERTFR-2026-AVI-0427	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5902
Google	Chrome	CVE-2026-6296	9.6 (NVD)	Contournement de la politique de sécurité	15/04/2026	Pas d'information	CERTFR-2026-AVI-0448	https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html
Microsoft	Edge	CVE-2026-5874	9.6 (NVD)	Contournement de la politique de sécurité	10/04/2026	Pas d'information	CERTFR-2026-AVI-0427	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5874
Siemens	SCALANCE W-700	CVE-2023-44373	9.4 (NVD)	Exécution de code arbitraire à distance	14/04/2026	Pas d'information	CERTFR-2026-AVI-0432	https://cert-portal.siemens.com/productcert/html/ssa-019200.html
Adobe	ColdFusion	CVE-2026-27304	9.3 (NVD)	Exécution de code arbitraire à distance	14/04/2026	Pas d'information	CERTFR-2026-AVI-0438	https://helpx.adobe.com/security/products/coldfusion/apsb26-38.html
Splunk	Splunk AppDynamics Smart Agent	CVE-2025-22871	9.1 (NVD)	Contournement de la politique de sécurité	15/04/2026	Pas d'information	CERTFR-2026-AVI-0450	https://advisory.splunk.com/advisories/SVD-2026-0406
Siemens	Scalance	CVE-2022-36323	9.1 (NVD)	Exécution de code arbitraire à distance	14/04/2026	Pas d'information	CERTFR-2026-AVI-0432	https://cert-portal.siemens.com/productcert/html/ssa-019200.html
Tenable	Identity Exposure	CVE-2025-55130	9.1 (NVD)	Atteinte à la confidentialité des données, Contournement de la politique de sécurité	14/04/2026	Pas d'information	CERTFR-2026-AVI-0436	https://www.tenable.com/security/tns-2026-11
Python	CPython	CVE-2026-6100	9.1 (NVD)	Non spécifié par l'éditeur	13/04/2026	Pas d'information	CERTFR-2026-AVI-0430	https://mail.python.org/archives/list/security-announce@python.org/thread/HTWB2Z6KT5QQX4RYEZAFININDHNOSIF3/
Schneider Electric	Modicon, Connexium Managed Switches	CVE-2024-3596	9 (NVD)	Contournement de la politique de sécurité	14/04/2026	Pas d'information	CERTFR-2026-AVI-0433	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-104-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-104-02.pdf
Microsoft	Power Apps	CVE-2026-26149	9 (NVD)	Contournement de la politique de sécurité	14/04/2026	Pas d'information	CERTFR-2026-AVI-0445	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26149

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Microsoft	Office Compatibility Pack, Office Excel Viewer, Office Excel, Office, Excel Viewer, Excel	CVE-2009-0238	8.8	Exécution de code arbitraire à distance	24/02/2009	Exploitée	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-009 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2009-0238
Microsoft	Exchange Server	CVE-2023-21529	8.8	Exécution de code arbitraire à distance	14/02/2023	Exploitée	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21529 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-21529
Microsoft	Office, Visual Basic For Applications, Visual Basic For Applications Sdk	CVE-2012-1854	7.8	Élévation de privilèges	10/07/2012	Exploitée	https://learn.microsoft.com/en-us/security-updates/SecurityBulletins/2012/ms12-046 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2012-1854
Adobe	Acrobat Reader Dc, Acrobat Dc	CVE-2020-9715	7.8	Exécution de code arbitraire	11/08/2020	Exploitée	https://helpx.adobe.com/security/products/acrobat/apsb20-48.html https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-9715
Microsoft	Windows Server 2008, Windows Server 2016, Windows Server 2019, Windows Server 2012, Windows 10 1607, Windows 11 22H2, Windows 10 1809, Windows Server 2022, Windows 10 21H2, Windows 10 1507, Windows 10 22H2, Windows Server 2022 23H2, Windows 11 23H2, Windows 11 21H2	CVE-2023-36424	7.8	Élévation de privilèges	14/11/2023	Exploitée	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36424 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-36424
HAProxy	HAProxy	CVE-2026-33555	4.0	Contournement de la politique de sécurité	14/04/2026	Code d'exploitation public	https://www.haproxy.com/documentation/haproxy-aloha/changelog/

Rappel des publications émises

Dans la période du 13 avril 2026 au 19 avril 2026, le CERT-FR a émis les publications suivantes :

CERTFR-2026-AVI-0425 : Vulnérabilité dans Foxit PDF Services API
CERTFR-2026-AVI-0426 : Multiples vulnérabilités dans Python
CERTFR-2026-AVI-0427 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2026-AVI-0428 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2026-AVI-0429 : Vulnérabilité dans Adobe Acrobat
CERTFR-2026-AVI-0430 : Multiples vulnérabilités dans Python
CERTFR-2026-AVI-0431 : Multiples vulnérabilités dans Synology SSL VPN Client
CERTFR-2026-AVI-0432 : Multiples vulnérabilités dans les produits Siemens
CERTFR-2026-AVI-0433 : Multiples vulnérabilités dans les produits Schneider Electric
CERTFR-2026-AVI-0434 : Multiples vulnérabilités dans les produits SAP
CERTFR-2026-AVI-0435 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2026-AVI-0436 : Multiples vulnérabilités dans Tenable Identity Exposure
CERTFR-2026-AVI-0437 : Vulnérabilité dans Python
CERTFR-2026-AVI-0438 : Multiples vulnérabilités dans les produits Adobe
CERTFR-2026-AVI-0439 : Multiples vulnérabilités dans Ivanti Neurons
CERTFR-2026-AVI-0440 : Multiples vulnérabilités dans les produits Fortinet
CERTFR-2026-AVI-0441 : Multiples vulnérabilités dans Microsoft Office
CERTFR-2026-AVI-0442 : Multiples vulnérabilités dans Microsoft Windows
CERTFR-2026-AVI-0443 : Multiples vulnérabilités dans Microsoft .Net
CERTFR-2026-AVI-0444 : Multiples vulnérabilités dans Microsoft Azure
CERTFR-2026-AVI-0445 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2026-AVI-0446 : Multiples vulnérabilités dans Mattermost Server
CERTFR-2026-AVI-0447 : Multiples vulnérabilités dans Drupal
CERTFR-2026-AVI-0448 : Multiples vulnérabilités dans Google Chrome
CERTFR-2026-AVI-0449 : Vulnérabilité dans Apache Kafka
CERTFR-2026-AVI-0450 : Multiples vulnérabilités dans les produits Splunk
CERTFR-2026-AVI-0451 : Multiples vulnérabilités dans les produits Cisco
CERTFR-2026-AVI-0452 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2026-AVI-0453 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2026-AVI-0454 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2026-AVI-0455 : Multiples vulnérabilités dans IBM QRadar
CERTFR-2026-AVI-0456 : Multiples vulnérabilités dans les produits Microsoft

Dans la période du 13 avril 2026 au 19 avril 2026, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2026-AVI-0320 : Multiples vulnérabilités dans Roundcube

Référence	CERTFR-2026-ACT-018
Titre	Bulletin d'actualité CERTFR-2026-ACT-018
Date de la première version	20 avril 2026
Date de la dernière version	20 avril 2026
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-018

Gestion du document

Vulnérabilités significatives de la semaine 16

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

Rappel des publications émises

Gestion détaillée du document