Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-027

Gestion du document

Référence	CERTFR-2026-ACT-027
Titre	Bulletin d'actualité CERTFR-2026-ACT-027
Date de la première version	22 juin 2026
Date de la dernière version	22 juin 2026
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 25

Tableau récapitulatif :

Vulnérabilités critiques du 15/06/26 au 21/06/26

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Cisco	Catalyst SD-WAN	CVE-2026-20262	6.5 (NVD)	Atteinte à l'intégrité des données	15/06/2026	Exploitée	CERTFR-2026-AVI-0756	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-arbfw-c2rZvQ
Traefik	Traefik	CVE-2026-54762	5.9 (Editeur)	Contournement de la politique de sécurité	19/06/2026	Code d'exploitation public	CERTFR-2026-AVI-0785	https://github.com/traefik/traefik/security/advisories/GHSA-4mr2-fg2p-w63c
Atlassian	Jira	CVE-2026-42043	10 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0773	https://jira.atlassian.com/browse/JSWSERVER-26815 https://jira.atlassian.com/browse/JSDSERVER-16616
Oracle	Weblogic Server	CVE-2026-35292	10 (NVD)	Atteinte à la confidentialité des données, Atteinte à l'intégrité des données	16/06/2026	Pas d'information	CERTFR-2026-AVI-0769	https://www.oracle.com/security-alerts/cspujun2026.html
Oracle	Weblogic Server	CVE-2026-35301	10 (NVD)	Atteinte à la confidentialité des données, Atteinte à l'intégrité des données	16/06/2026	Pas d'information	CERTFR-2026-AVI-0769	https://www.oracle.com/security-alerts/cspujun2026.html
Oracle	Systems	CVE-2026-46978	10 (NVD)	Atteinte à la confidentialité des données, Atteinte à l'intégrité des données	16/06/2026	Pas d'information	CERTFR-2026-AVI-0767	https://www.oracle.com/security-alerts/cspujun2026.html
Google	Android	CVE-2026-0063	10 (NVD)	Élévation de privilèges	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-0064	10 (NVD)	Déni de service à distance	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-0068	10 (NVD)	Élévation de privilèges	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-0071	10 (NVD)	Élévation de privilèges	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-0081	10 (NVD)	Élévation de privilèges, Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-0082	10 (NVD)	Élévation de privilèges	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-0083	10 (NVD)	Élévation de privilèges, Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-0092	10 (NVD)	Élévation de privilèges, Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-28575	10 (NVD)	Déni de service à distance	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-28576	10 (NVD)	Exécution de code arbitraire à distance, Atteinte à la confidentialité des données, Injection SQL (SQLi)	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-28587	10 (NVD)	Atteinte à la confidentialité des données	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Google	Android	CVE-2026-28615	10 (NVD)	Élévation de privilèges, Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0778	https://source.android.com/docs/security/bulletin/android-17
Oracle	MySQL	CVE-2026-46850	9.9 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0765	https://www.oracle.com/security-alerts/cspujun2026.html
Oracle	MySQL	CVE-2026-35263	9.9 (NVD)	Atteinte à la confidentialité des données, Atteinte à l'intégrité des données	16/06/2026	Pas d'information	CERTFR-2026-AVI-0765	https://www.oracle.com/security-alerts/cspujun2026.html
Mozilla	Thunderbird, Firefox	CVE-2026-12293	9.8 (NVD)	Non spécifié par l'éditeur	16/06/2026	Pas d'information	CERTFR-2026-AVI-0764	https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/
Oracle	PeopleSoft	CVE-2026-35278	9.8 (NVD)	Atteinte à la confidentialité des données, Atteinte à l'intégrité des données	16/06/2026	Pas d'information	CERTFR-2026-AVI-0766	https://www.oracle.com/security-alerts/cspujun2026.html
Oracle	MySQL	CVE-2026-46860	9.8 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0765	https://www.oracle.com/security-alerts/cspujun2026.html
Oracle	Weblogic Server	CVE-2026-35300	9.8 (NVD)	Atteinte à la confidentialité des données, Atteinte à l'intégrité des données	16/06/2026	Pas d'information	CERTFR-2026-AVI-0769	https://www.oracle.com/security-alerts/cspujun2026.html
Spring	Spring pour GraphQL	CVE-2026-41699	9.8 (NVD)	Exécution de code arbitraire à distance	10/06/2026	Pas d'information	CERTFR-2026-AVI-0759	https://spring.io/security/cve-2026-41699
Mozilla	Firefox, Thunderbird	CVE-2026-12294	9.6 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0764	https://www.mozilla.org/en-US/security/advisories/mfsa2026-59/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/
Mozilla	Thunderbird, Firefox	CVE-2026-12295	9.6 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0764	https://www.mozilla.org/en-US/security/advisories/mfsa2026-59/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/
Mozilla	Thunderbird, Firefox	CVE-2026-12296	9.6 (NVD)	Non spécifié par l'éditeur	16/06/2026	Pas d'information	CERTFR-2026-AVI-0764	https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/
Mozilla	Thunderbird, Firefox	CVE-2026-12297	9.6 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0764	https://www.mozilla.org/en-US/security/advisories/mfsa2026-59/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/
Google	Chrome	CVE-2026-12440	9.6 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0761	https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_01750511403.html
Oracle	MySQL	CVE-2026-46861	9.6 (NVD)	Atteinte à l'intégrité des données	16/06/2026	Pas d'information	CERTFR-2026-AVI-0765	https://www.oracle.com/security-alerts/cspujun2026.html
Cisco	Identity Services Engine	CVE-2026-20181	9.1 (NVD)	Exécution de code arbitraire à distance, Déni de service à distance, Contournement de la politique de sécurité	17/06/2026	Pas d'information	CERTFR-2026-AVI-0772	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multi-G5WP8vv
Splunk	Splunk AI Toolkit	CVE-2026-20266	9.1 (NVD)	Exécution de code arbitraire à distance	17/06/2026	Pas d'information	CERTFR-2026-AVI-0774	https://advisory.splunk.com/advisories/SVD-2026-0614
Atlassian	Confluence	CVE-2026-42579	9.1 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0773	https://jira.atlassian.com/browse/CONFSERVER-104139
Atlassian	Confluence, Jira	CVE-2026-42584	9.1 (NVD)	Non spécifié par l'éditeur	16/06/2026	Pas d'information	CERTFR-2026-AVI-0773	https://jira.atlassian.com/browse/JSWSERVER-26811 https://jira.atlassian.com/browse/JSDSERVER-16611 https://jira.atlassian.com/browse/CONFSERVER-104135
Mozilla	Thunderbird, Firefox	CVE-2026-12304	9.1 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0764	https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/
Mozilla	Thunderbird, Firefox	CVE-2026-12315	9.1 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0764	https://www.mozilla.org/en-US/security/advisories/mfsa2026-58/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-61/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/
Mozilla	Thunderbird, Firefox	CVE-2026-12316	9.1 (NVD)	Contournement de la politique de sécurité	16/06/2026	Pas d'information	CERTFR-2026-AVI-0764	https://www.mozilla.org/en-US/security/advisories/mfsa2026-57/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-60/
Oracle	Weblogic Server	CVE-2026-35298	9.1 (NVD)	Atteinte à la confidentialité des données, Atteinte à l'intégrité des données	16/06/2026	Pas d'information	CERTFR-2026-AVI-0769	https://www.oracle.com/security-alerts/cspujun2026.html

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Widgetfactorylimited	Jce	CVE-2026-48907	10	Non spécifié par l'éditeur	12/06/2026	Exploitée	https://www.joomlacontenteditor.net/ https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-48907 https://www.joomlacontenteditor.net/news/jce-security-update-and-a-free-patch-for-older-sites
Splunk	Splunk Enterprise, Splunk Cloud Platform	CVE-2026-20253	9.8	Atteinte à l'intégrité des données, Contournement de la politique de sécurité	11/06/2026	Exploitée	https://advisory.splunk.com/advisories/SVD-2026-0603
Litespeedtech	Litespeed Cpanel Plugin, Litespeed Whm Plugin	CVE-2026-54420	8.5	Non spécifié par l'éditeur	01/06/2026	Exploitée	https://blog.litespeedtech.com/2026/06/01/security-update-for-litespeed-cpanel-plugin-2/ https://www.litespeedtech.com/products/litespeed-web-server/control-panel-support/cpanel https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-54420
Microsoft	Microsoft Defender	CVE-2026-50656	7.8	Élévation de privilèges	16/06/2026	Code d'exploitation public	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656

Incidents

Fuite massive d'identifiants d'accès aux pare-feu et passerelles VPN Fortinet

En juin 2026, des chercheurs ont révélé une fuite massive de données critiques, dénommée FortiBleed, ciblant les équipements Fortinet à l'échelle mondiale. Une base de données contenant les identifiants d'accès de plus de 75000 pare-feu et passerelles VPN Fortinet est disponible en libre accès sur Internet.
Tous les appareils Fortinet dont l'interface d'administration ou les accès VPN sont exposés sur Internet sont à risque.

Liens

Rappel des publications émises

Dans la période du 15 juin 2026 au 21 juin 2026, le CERT-FR a émis les publications suivantes :

CERTFR-2026-AVI-0750 : Vulnérabilité dans les produits HPE Aruba Networking
CERTFR-2026-AVI-0751 : Vulnérabilité dans Spring AI
CERTFR-2026-AVI-0752 : Multiples vulnérabilités dans les produits Mattermost
CERTFR-2026-AVI-0753 : Multiples vulnérabilités dans Microsoft Azure
CERTFR-2026-AVI-0754 : Multiples vulnérabilités dans Redmine
CERTFR-2026-AVI-0755 : Vulnérabilité dans LibreNMS
CERTFR-2026-AVI-0756 : Vulnérabilité dans Cisco Catalyst
CERTFR-2026-AVI-0757 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2026-AVI-0758 : Vulnérabilité dans Microsoft Azure
CERTFR-2026-AVI-0759 : Multiples vulnérabilités dans les produits Spring
CERTFR-2026-AVI-0760 : Multiples vulnérabilités dans les produits Moxa
CERTFR-2026-AVI-0761 : Multiples vulnérabilités dans Google Chrome
CERTFR-2026-AVI-0762 : Multiples vulnérabilités dans les produits Qnap
CERTFR-2026-AVI-0763 : Vulnérabilité dans les produits Moxa
CERTFR-2026-AVI-0764 : Multiples vulnérabilités dans les produits Mozilla
CERTFR-2026-AVI-0765 : Multiples vulnérabilités dans Oracle MySQL
CERTFR-2026-AVI-0766 : Multiples vulnérabilités dans Oracle PeopleSoft
CERTFR-2026-AVI-0767 : Multiples vulnérabilités dans Oracle Systems
CERTFR-2026-AVI-0768 : Multiples vulnérabilités dans Oracle Virtualization
CERTFR-2026-AVI-0769 : Multiples vulnérabilités dans Oracle Weblogic
CERTFR-2026-AVI-0770 : Multiples vulnérabilités dans les produits Mitel
CERTFR-2026-AVI-0771 : Multiples vulnérabilités dans Drupal
CERTFR-2026-AVI-0772 : Multiples vulnérabilités dans les produits Cisco
CERTFR-2026-AVI-0773 : Multiples vulnérabilités dans les produits Atlassian
CERTFR-2026-AVI-0774 : Multiples vulnérabilités dans Splunk AI Toolkit
CERTFR-2026-AVI-0775 : Multiples vulnérabilités dans Nginx
CERTFR-2026-AVI-0776 : Vulnérabilité dans Synacor Zimbra Collaboration
CERTFR-2026-AVI-0777 : Multiples vulnérabilités dans Mattermost Desktop App
CERTFR-2026-AVI-0778 : Multiples vulnérabilités dans Google Android 17
CERTFR-2026-AVI-0779 : Multiples vulnérabilités dans Google Pixel
CERTFR-2026-AVI-0780 : Vulnérabilité dans Apereo CAS
CERTFR-2026-AVI-0781 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2026-AVI-0782 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2026-AVI-0783 : Multiples vulnérabilités dans Microsoft Azure
CERTFR-2026-AVI-0784 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
CERTFR-2026-AVI-0785 : Vulnérabilité dans Traefik
CERTFR-2026-AVI-0786 : Multiples vulnérabilités dans Node.js
CERTFR-2026-AVI-0787 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2026-AVI-0788 : Multiples vulnérabilités dans les produits IBM

Dans la période du 15 juin 2026 au 21 juin 2026, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2026-AVI-0632 : Multiples vulnérabilités dans les produits Mattermost
CERTFR-2026-ALE-003 : Note d’alerte – Ciblage des messageries instantanées

Gestion détaillée du document

le 22 juin 2026: Version initiale