Une faille de sécurité critique présente dans Microsoft Configuration Manager (SCCM) est désormais considérée comme exploitée par la CISA : CVE-2024-43468.

Le post Microsoft : cette faille dans SCCM n’est pas récente, mais elle est exploitée dans des attaques a été publié sur IT-Connect.

Une nouvelle vulnérabilité (CVE-2026-26012) a été corrigée dans Vaultwarden : elle permet de récupérer les mots de passe chiffrés d'autres collections.

Le post Vaultwarden – CVE-2026-26012 : cette faille expose vos mots de passe aux autres utilisateurs ! a été publié sur IT-Connect.

Apple a colmaté sa première faille zero-day de l'année 2026 : CVE-2026-20700. Quels sont les risques ? Comment se protéger ? Voici l'essentiel à savoir.

Le post CVE-2026-20700 – Apple corrige sa première faille zero-day de 2026 : patchez ! a été publié sur IT-Connect.

En exploitant la CVE-2026-20841 dans Bloc-notes, un attaquant peut lancer un exécutable sur Windows à l'aide d'un fichier Markdown. Voici comment se protéger.

Le post Une faille dans Bloc-notes permet de lancer un exécutable sur Windows 11 avec un lien Markdown a été publié sur IT-Connect.

CVE-2026-25049, c'est le nom de la nouvelle faille de sécurité critique découverte dans n8n : elle contourne le patch lié à la CVE-2025-68613 de décembre 2025.

Le post n8n : la faille critique CVE-2026-25049 réactive une précédente vulnérabilité a été publié sur IT-Connect.

Des cybercriminels exploitent une faille surnommée Metro4Shell et qui affecte directement l'écosystème React Native (CVE-2025-11953). Voici comment se protéger.

Le post React Native : la faille critique Metro4Shell est exploitée par les cybercriminels a été publié sur IT-Connect.

Le 28 janvier 2026, de nouvelles versions de GLPI ont été publiées dans le but de corriger au total 4 failles de sécurité : GLPI 11.0.5 et GLPI 10.0.23.

Le post GLPI 11.0.5 et GLPI 10.0.23 : deux mises à jour de sécurité à appliquer maintenant ! a été publié sur IT-Connect.

Une faille critique (CVE-2026-24061) a été découverte dans InetUtils utilisé par Telnet. Elle permet d'obtenir un accès root en une seule commande, à distance.

Le post Un accès root en une seule commande : cette faille dans GNU InetUtils menace les accès Telnet a été publié sur IT-Connect.

Quand un accès en lecture seule mène à une exécution de code à distance, voici une phrase qui résume bien la nouvelle vulnérabilité découverte dans Kubernetes.

Le post Kubernetes : cette vulnérabilité permet une exécution de code à distance, mais elle ne sera pas patchée a été publié sur IT-Connect.

Deux nouvelles failles ont été patchées dans la solution n8n : CVE-2026-1470 et CVE-2026-0863. Elles peuvent mener à la compromission du serveur n8n.

Le post n8n – CVE-2026-1470 et CVE-2026-0863 : deux nouvelles failles patchées, comment se protéger ? a été publié sur IT-Connect.

Fortinet a confirmé l'existence d'une faille zero-day critique permettant de contourner l'authentification FortiCloud SSO. Protégez-vous de la CVE-2026-24858.

Le post Fortinet coupe le SSO en attendant les patchs pour la nouvelle faille zero-day : CVE-2026-24858 a été publié sur IT-Connect.

Microsoft a publié un correctif pour patcher une faille de sécurité zero-day dans Microsoft Office. Cette vulnérabilité (CVE-2026-21509) est déjà exploitée.

Le post Microsoft a patché en urgence une faille de sécurité zero-day dans Office : CVE-2026-21509 a été publié sur IT-Connect.

La faille de sécurité CVE-2024-37079 présente dans VMware vCenter Server est activement exploitée, d'après l'agence CISA. Elle a été patchée en juin 2024.

Le post VMware vCenter : la CVE-2024-37079 est activement exploitée d’après la CISA a été publié sur IT-Connect.

Alerte Fortinet : des firewalls FortiGate piratés, même lorsque les administrateurs ont effectué l'installation du patch Fortinet pour la faille CVE-2025-59718.

Le post CVE-2025-59718 – Des firewalls FortiGate piratés malgré l’installation des derniers patchs a été publié sur IT-Connect.

Une faille importante (CVE-2026-23745) a été découverte dans node-tar, une bibliothèque populaire pour Node.js. Voici les risques et les mesures de correction.

Le post Node.js – CVE-2026-23745 : cette faille de sécurité dans la bibliothèque node-tar est à prendre au sérieux a été publié sur IT-Connect.

Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source

CVE-2026-0227 : une nouvelle faille de sécurité importante a été corrigée dans PAN-OS, le système des firewalls Palo Alto. Quels sont les risques ?

Le post Palo Alto Networks – CVE-2026-0227 : cette nouvelle faille permet de désactiver le firewall à distance a été publié sur IT-Connect.

Les entreprises se concentrent souvent sur les correctifs CVE en se basant uniquement sur les scores CVSS, et ne traitent immédiatement que les vulnérabilités « critiques » (9,0+). Cependant, la CVE-2025-62507 présente un risque important en raison de son ciblage d’infrastructures stratégiques à un risque élevé, avec une exploitation d’une simplicité déconcertante. Tribune – Redis est bien […]

Une faille de sécurité critique (CVE-2025-64155) a été découverte dans la solution FortiSIEM de Fortinet. Un exploit PoC est même déjà disponible.

Le post Un exploit est disponible pour cette nouvelle faille critique dans Fortinet FortiSIEM : CVE-2025-64155 a été publié sur IT-Connect.