Semaine des vulnérabilités : 2026 commence avec 100 PoC et de nouveaux exploits
L’année ne date peut-être que d’un peu plus d’une semaine, mais les acteurs de la menace ont déjà rassemblé près de 100 preuves de concept et vulnérabilités nouvellement exploitées.
Les chercheurs de Cyble Vulnerability Intelligence ont suivi 678 vulnérabilités au cours de la semaine dernière, une diminution par rapport au volume élevé de nouvelles vulnérabilités observées au cours des dernières semaines de 2025.
Près de 100 des vulnérabilités divulguées disposent déjà d'une preuve de concept (PoC) accessible au public, ce qui augmente considérablement la probabilité d'attaques réelles contre ces vulnérabilités.
Au total, 42 vulnérabilités ont été classées comme critiques sur la base du système de notation CVSS v3.1, tandis que 15 ont reçu une cote de gravité critique basée sur le nouveau système de notation CVSS v4.0.
Vous trouverez ci-dessous quelques-unes des vulnérabilités les plus importantes des systèmes informatiques et de contrôle industriels (ICS) mises en évidence par Cyble dans des rapports clients récents.
Principales vulnérabilités informatiques de la semaine
CVE-2025-60534 est une vulnérabilité critique de contournement d'authentification affectant Blue Access Cobalt v02.000.195, qui pourrait permettre à un attaquant de proxyer de manière sélective des requêtes pour faire fonctionner les fonctionnalités de l'application Web sans nécessiter d'authentification, permettant potentiellement un accès administrateur complet aux applications et aux systèmes de passerelle.
CVE-2025-68428 est une vulnérabilité d'inclusion de fichiers locaux et de traversée du chemin critique dans les versions Node.js de la bibliothèque JavaScript jsPDF. Cela affecte des méthodes telles que loadFile, addImage, html et addFont, où des entrées utilisateur non vérifiées telles que les chemins de fichiers pourraient permettre aux attaquants de lire des fichiers arbitraires sur le serveur et d'intégrer leur contenu dans les fichiers PDF générés.
CVE-2020-36923 est une vulnérabilité de référence d'objet direct (IDOR) non sécurisée de gravité moyenne dans Sony BRAVIA Digital Signage 1.7.8, qui pourrait permettre aux attaquants de contourner les contrôles d'autorisation et d'accéder à des ressources système cachées telles que « /#/content-creation » en manipulant les restrictions d'accès côté client.
CISA a ajouté ses deux premières vulnérabilités de 2026 au catalogue des vulnérabilités exploitées connues (KEV) : une faille Microsoft PowerPoint vieille de 16 ans et une nouvelle vulnérabilité HPE de gravité maximale. L'agence a ajouté 245 vulnérabilités au catalogue KEV en 2025.
CVE-2025-37164 est une vulnérabilité d'injection de code de niveau 10.0 dans le logiciel de gestion de l'infrastructure informatique HPE OneView jusqu'à la version 10.20 qui a un PoC disponible publiquement depuis le mois dernier, tandis que CVE-2009-0556 est une vulnérabilité d'injection de code de niveau 9.3 présente dans Microsoft Office PowerPoint 2000 SP3, 2002 SP3 et 2003 SP3, et PowerPoint dans Microsoft Office 2004. pour Mac dont l'exploitation a été connue pour la première fois en avril 2009.
Les vulnérabilités notables discutées dans les communautés open source incluent CVE-2025-13915, une vulnérabilité critique de contournement d'authentification dans IBM API Connect qui pourrait permettre à des attaquants distants non authentifiés de contourner les contrôles d'authentification et d'obtenir un accès non autorisé aux fonctions sensibles de gestion des API. Une autre était CVE-2025-68668, une vulnérabilité de contournement du bac à sable de gravité 9,9 dans le nœud de code Python de la plateforme d'automatisation de flux de travail n8n qui utilise Pyodide.
Une autre vulnérabilité qui attire l'attention est CVE-2025-52691, une vulnérabilité de téléchargement de fichiers arbitraires non authentifiés de gravité maximale dans les serveurs de messagerie SmarterMail. La faille affecte les versions de SmarterMail antérieures à la Build 9413 et pourrait permettre à des attaquants distants de télécharger des fichiers malveillants vers n'importe quel emplacement du serveur sans nécessiter d'informations d'identification, ce qui pourrait conduire à l'exécution de code à distance (RCE), à une compromission complète du serveur, au vol de données ou au déploiement de ransomware.
Les chercheurs de Cyble Dark Web ont observé un acteur menaçant (TA) sur un forum de cybercriminalité annonçant une vulnérabilité Zero Day qui aurait affecté la dernière version de Microsoft Word. Le TA a décrit que la vulnérabilité affecte un module de bibliothèque de liens dynamiques (DLL) que Microsoft Word charge sans vérification appropriée en raison de l'absence de validation de chemin absolu, ce qui permettrait l'exécution de code à distance et l'exploitation d'une élévation de privilèges locale. L'AT n'a pas fourni de preuve de concept technique, de numéros de version concernés ou de vérification indépendante ; par conséquent, cette affirmation reste non vérifiée.
Vulnérabilités ICS
Trois vulnérabilités ICS méritent également une attention prioritaire de la part des équipes de sécurité.
CVE-2025-3699 est une vulnérabilité d'authentification manquante pour les fonctions critiques qui affecte plusieurs versions des systèmes de climatisation Mitsubishi Electric. Une exploitation réussie de cette vulnérabilité pourrait avoir des conséquences considérables, au-delà du simple accès non autorisé. En contournant l'authentification, un attaquant pourrait prendre le contrôle total du système de climatisation, lui permettant ainsi de manipuler les conditions environnementales au sein de l'entreprise. Cela pourrait entraîner une surchauffe des équipements, des perturbations dans les environnements médicaux ou des arrêts de production. De plus, l'accès aux informations sensibles stockées dans le système, telles que les fichiers de configuration, les informations d'identification des utilisateurs ou les journaux opérationnels, pourrait fournir aux attaquants des informations précieuses pour une compromission ultérieure.
CVE-2025-59287, une vulnérabilité divulguée par Microsoft dans l'application Windows Server Update Services (WSUS), affecte les serveurs exécutant Schneider Electric EcoStruxure Foxboro DCS Advisor. La désérialisation de données non fiables dans WSUS pourrait permettre à un attaquant non autorisé d'exécuter du code sur un réseau.
CVE-2018-4063 est une vulnérabilité d'exécution de code à distance dans la fonctionnalité upload.cgi de Sierra Wireless AirLink ES450 FW 4.9.3 qui a été ajoutée à la base de données KEV de CISA le mois dernier après la détection d'attaques sur les appareils périphériques du réseau OT.
Conclusion
Les nouvelles vulnérabilités qui se rapprochent des tendances à long terme seraient une bonne nouvelle si cela continue, mais cela laisse toujours aux équipes de sécurité des centaines de nouvelles vulnérabilités à gérer par semaine, dont beaucoup ont des PoC ou des exploits actifs. Dans cet environnement difficile, des actions rapides et bien ciblées sont nécessaires pour corriger les vulnérabilités les plus critiques et défendre avec succès l’informatique et les infrastructures critiques. Un programme de gestion des vulnérabilités basé sur les risques devrait être au centre de ces efforts défensifs.
Parmi les autres bonnes pratiques de cybersécurité qui peuvent aider à se protéger contre un large éventail de menaces, citons la segmentation des actifs critiques ; supprimer ou protéger les actifs du Web ; Principes d'accès Zero Trust ; sauvegardes résistantes aux ransomwares ; points de terminaison, infrastructures et configurations renforcés ; surveillance du réseau, des points finaux et du cloud ; et des plans de réponse aux incidents bien rodés.
Les solutions complètes de gestion de la surface d'attaque de Cyble peuvent aider en analysant les actifs du réseau et du cloud à la recherche d'expositions et en priorisant les mesures correctives, ainsi qu'en surveillant les fuites d'informations d'identification et d'autres signes avant-coureurs de cyberattaques majeures.