Oracle, OpenStack, SAP, Salesforce et ServiceNow font partie des produits d'entreprise de premier plan présentant des vulnérabilités qui nécessitent l'attention des équipes de sécurité.
Les chercheurs de Cyble Vulnerability Intelligence ont suivi 1 031 vulnérabilités au cours de la semaine dernière, et près de 200 disposent déjà d'une preuve de concept (PoC) accessible au public, ce qui augmente considérablement la probabilité d'attaques réelles contre ces vulnérabilités.
Au total, 72 vulnérabilités ont été classées comme critiques sur la base du système de notation CVSS v3.1, tandis que 33 ont reçu une cote de gravité critique basée sur le nouveau système de notation CVSS v4.0.
Vous trouverez ci-dessous quelques-unes des vulnérabilités signalées par les chercheurs de Cyble en matière de renseignements sur les menaces et que les équipes de sécurité doivent prioriser dans les récents rapports adressés aux clients.
Principales vulnérabilités informatiques de la semaine
CVE-2026-21969 est une vulnérabilité de gravité 9,8 dans Oracle Agile Product Lifecycle Management for Process, en particulier dans le composant Supplier Portal d'Oracle Supply Chain. Cette faille pourrait permettre à des attaquants distants non authentifiés d’obtenir un contrôle total du système sur HTTP sans nécessiter d’informations d’identification ni d’interaction de l’utilisateur.
CVE-2026-22797 est une vulnérabilité de contournement d'authentification 9.9 dans le composant external_oauth2_token du middleware Keystone OpenStack. Un attaquant authentifié pourrait élever ses privilèges ou usurper l'identité d'autres utilisateurs en envoyant de faux en-têtes d'identité tels que X-Is-Admin-Project, X-Roles ou X-User-Id.
CVE-2026-0501 est une vulnérabilité d'injection SQL de gravité 9,9 dans SAP S/4HANA Private Cloud et On-Premise, en particulier le module Financials General Ledger, qui pourrait permettre à un attaquant authentifié et peu privilégié de créer des requêtes SQL, lui permettant potentiellement de lire des données financières sensibles, de modifier des enregistrements ou de supprimer du contenu de la base de données principale.
CVE-2026-22584 est une vulnérabilité d'injection de code avec une note de 8,5 dans la bibliothèque Salesforce Uni2TS, affectant les systèmes MacOS, Windows et Linux, qui pourrait permettre à des attaquants d'exploiter du code exécutable dans des fichiers non exécutables.
CVE-2025-69258 est une vulnérabilité d'exécution de code à distance (RCE) 9.8 non authentifiée dans Trend Micro Apex Central. La faille pourrait permettre à un attaquant distant non authentifié de charger une DLL contrôlée par l'attaquant dans un exécutable de clé, ce qui entraînerait l'exécution du code fourni par l'attaquant dans le contexte SYSTEM sur les installations affectées.
Les vulnérabilités ajoutées au catalogue de vulnérabilités exploitées connues (KEV) de CISA incluent CVE-2024-37079, une vulnérabilité d'écriture hors limites de Broadcom VMware vCenter Server avec une gravité 9,8, CVE-2026-21509, une vulnérabilité de contournement des fonctionnalités de sécurité de Microsoft Office avec une note de 7,8, CVE-2026-24858, une gravité Fortinet 9,8 et CVE-2025-34026, une vulnérabilité de mauvaise authentification de Versa Concerto classée 9,2 dans la configuration du proxy inverse Traefik qui pourrait permettre à un attaquant d'accéder aux points de terminaison administratifs.
Les vulnérabilités notables discutées dans les communautés open source comprenaient CVE-2025-64155, une vulnérabilité critique d'injection de commandes du système d'exploitation dans Fortinet FortiSIEM, affectant les nœuds Super et Worker. Un attaquant distant non authentifié pourrait exploiter le service phMonitor via des requêtes conçues pour exécuter des commandes arbitraires, permettant potentiellement de compromettre l'ensemble du système, y compris l'accès root via l'écrasement de fichiers et l'élévation de privilèges. Cyble a également noté la vulnérabilité évoquée par les acteurs de la menace sur les forums de cybercriminalité du Dark Web.
Une autre vulnérabilité qui retient l'attention dans les communautés open source est CVE-2025-12420, surnommée « BodySnatcher », une vulnérabilité critique d'élévation de privilèges dans la plateforme ServiceNow AI, impliquant spécifiquement l'API Virtual Agent et les agents Now Assist AI. Cela pourrait permettre à des attaquants distants non authentifiés d'usurper l'identité de n'importe quel utilisateur de ServiceNow, y compris les administrateurs, en exploitant un secret d'authentification codé en dur et un lien d'identité basé sur la messagerie électronique, conduisant à des actions arbitraires telles que la création de comptes d'administrateur de porte dérobée.
Des vulnérabilités en discussion sur le Dark Web
En plus du CVE-2025-64155, les chercheurs du Dark Web de Cyble ont observé des acteurs malveillants discutant d'autres vulnérabilités sur les forums du Dark Web et de la cybercriminalité. Ils comprennent :
CVE-2026-23745, une vulnérabilité de traversée de répertoire de haute gravité dans la bibliothèque node-tar (versions ≤ 7.5.2) pour Node.js. La vulnérabilité résulte d'une vérification incorrecte du chemin de lien dans les entrées de liens physiques et symboliques lorsque préservationPaths est défini sur false, ce qui est le comportement sûr par défaut. Un attaquant pourrait exploiter cette faille en créant des fichiers tar malveillants pour contourner les restrictions d'extraction racine, obtenant ainsi un écrasement arbitraire des fichiers via des liens physiques et des attaques d'empoisonnement de liens symboliques. Dans les environnements CI/CD ou les pipelines automatisés, un exploit réussi pourrait entraîner l'exécution de code à distance en écrasant des fichiers de configuration, des scripts ou des binaires, bien que npm ne soit pas affecté car il filtre les entrées tar Link et SymbolicLink.
CVE-2026-22812, une vulnérabilité de haute gravité dans OpenCode, un agent de codage d'IA open source, affectant les versions antérieures à 1.0.216. La faille implique de multiples faiblesses, notamment le manque d'authentification pour les fonctions critiques, les méthodes dangereuses exposées et les politiques de sécurité permissives entre domaines. OpenCode démarre automatiquement un serveur HTTP non authentifié qui permet à tout processus local ou à tout site Web via CORS permissif d'exécuter des commandes shell arbitraires avec les privilèges de l'utilisateur. Après un exploit réussi qui nécessite une interaction de l'utilisateur, comme la visite d'un site Web malveillant, les attaquants pourraient complètement compromettre la confidentialité, l'intégrité et la disponibilité, avec un impact important sur les trois dimensions de sécurité.
Un acteur malveillant a partagé une chaîne d'exploitation de haute gravité ciblant le moteur WebKit d'Apple dans les versions iOS antérieures à iOS 26. La chaîne relie CVE-2025-43529, une faille d'utilisation après libération, à CVE-2025-14174, un problème de corruption de mémoire dans le moteur de rendu ANGLE Metal. Lorsqu'ils diffusent du contenu Web malveillant, les attaquants exécutent d'abord du code dans le bac à sable du navigateur, puis exploitent la corruption de la mémoire pour contourner la sécurité de la plateforme. Suite à un exploit réussi via un site Web malveillant, les attaquants peuvent installer des logiciels espions sophistiqués pour surveiller l'emplacement, intercepter les messages et accéder à la caméra et au microphone de l'appareil.
Conclusion
Le nombre de vulnérabilités affectant les environnements d'entreprise de grande envergure met en évidence la pression constante à laquelle sont confrontées les équipes de sécurité, qui doivent réagir par des actions rapides et bien ciblées pour corriger les vulnérabilités les plus critiques et défendre avec succès l'informatique et les infrastructures critiques. Un programme de gestion des vulnérabilités basé sur les risques devrait être au centre de ces efforts défensifs.
Parmi les autres bonnes pratiques de cybersécurité qui peuvent aider à se protéger contre un large éventail de menaces, citons la segmentation des actifs critiques ; supprimer ou protéger les actifs du Web ; Principes d'accès Zero Trust ; sauvegardes résistantes aux ransomwares ; points de terminaison, infrastructures et configurations renforcés ; surveillance du réseau, des points finaux et du cloud ; et des plans de réponse aux incidents bien rodés.
Les solutions complètes de gestion de la surface d'attaque de Cyble peuvent aider en analysant les actifs du réseau et du cloud à la recherche d'expositions et en priorisant les mesures correctives, ainsi qu'en surveillant les fuites d'informations d'identification et d'autres signes avant-coureurs de cyberattaques majeures.
