Rapport de Veille CVE

Vulnérabilités critiques (CVSS > 9.4) — période couverte : 29 mai au 4 juin 2026
11
CVE critiques (>9.4)
4
Exploitations actives
CRITIQUE
Niveau de menace
6
Actions immédiates

⚠️ Recommandation globale

Niveau de menace CRITIQUE cette semaine. Onze vulnérabilités de score CVSS supérieur à 9.4 ont été publiées ou activement exploitées entre le 29 mai et le 4 juin 2026, dont quatre avec exploitation confirmée en environnement réel. La priorité absolue va à CVE-2026-41089 (Windows Netlogon, RCE non authentifiée sur les contrôleurs de domaine, alerte du gouvernement belge) et à CVE-2026-35616 (FortiClient EMS, exploité pour déployer l'infostealer EKZ). Patchez immédiatement les contrôleurs de domaine, les appliances Fortinet exposées, les serveurs Oracle ORDS (CVSS 10.0, RCE non authentifiée) et isolez toute instance ChromaDB exposée (CVSS 10.0). Les sites WordPress utilisant Burst Statistics, Kirki, ARMember ou WP Maps Pro doivent être mis à jour sous 24 h et audités pour la présence de comptes administrateurs frauduleux.

Éditeurs touchés :Microsoft Fortinet Oracle Exim WordPress (plugins) ChromaDB
Secteurs à risque :Services financiers Hébergement / MSP Santé Secteur public Tech / IA & SaaS
⚠️ CVE-2026-46840 Oracle — REST Data Services (ORDS) 10.0

Vulnérabilité d'exécution de code à distance non authentifiée dans Oracle REST Data Services (composant Backend-as-a-Service). Un attaquant disposant d'un accès réseau via HTTPS peut prendre le contrôle total du serveur ORDS sans authentification. Un PoC public a été publié.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
10.0 (v3.1)
Systèmes affectés
Versions supportées 24.2.0 à 26.1.0
Correctif
Disponible — CSPU mai 2026
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Appliquer le Critical Security Patch Update Oracle de mai 2026 (cspumay2026)
  2. Restreindre l'accès réseau à ORDS aux réseaux de confiance
  3. Auditer les journaux d'accès HTTPS pour toute requête anormale
  4. Surveiller l'apparition de processus inattendus sur l'hôte
↗ NVD↗ Advisory Oracle
⚠️ CVE-2026-45829 ChromaDB — API Server (PyPI chromadb) 10.0

Injection de code pré-authentification dans le serveur API Python de ChromaDB. Un endpoint marqué comme authentifié permet d'injecter des paramètres de modèle avant la vérification d'authentification ; en pointant vers un dépôt Hugging Face malveillant avec trust_remote_code=true, l'attaquant force l'exécution de code à distance. Environ 73 % des instances exposées sont vulnérables.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
10.0 (v4.0)
Systèmes affectés
chromadb 1.0.0 à 1.5.8 (1.5.9 non confirmée). Déploiements locaux/Rust non concernés.
Correctif
Non disponible / non confirmé (1.5.9)
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Ne JAMAIS exposer le serveur API ChromaDB à Internet
  2. Placer ChromaDB derrière un pare-feu / VPN / reverse-proxy authentifié
  3. Surveiller le dépôt GitHub pour un correctif officiel confirmé
  4. Envisager le front-end Rust non affecté en attendant
↗ NVD
⚠️ CVE-2026-41089 Microsoft — Windows Netlogon EXPLOIT ACTIF 9.8

Débordement de tampon sur la pile dans le service Windows Netlogon. Un attaquant non authentifié disposant d'un accès réseau à un contrôleur de domaine peut exécuter du code à distance au niveau SYSTEM via une requête RPC Netlogon spécialement conçue. Le Centre belge pour la cybersécurité (CCB) a émis une alerte d'exploitation active le 1er juin 2026.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
9.8 (v3.1)
Systèmes affectés
Windows Server 2008 R2 à 2025 (tous DC concernés)
Correctif
Disponible — Patch Tuesday mai 2026
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Patcher EN PRIORITÉ tous les contrôleurs de domaine (correctif Patch Tuesday mai 2026)
  2. Vérifier les versions : Server 2019 build 10.0.17763.8755, 2022 build 10.0.20348.5074, 2025 build 10.0.26100.32772
  3. Restreindre l'exposition réseau du service Netlogon
  4. Surveiller les journaux pour des requêtes RPC Netlogon anormales
↗ NVD↗ MSRC
⚠️ CVE-2026-35616 Fortinet — FortiClient EMS KEV EXPLOIT ACTIF 9.8

Contrôle d'accès incorrect (CWE-284) permettant à un attaquant non authentifié d'exécuter du code via des requêtes contre l'API EMS. Les chercheurs d'Arctic Wolf ont observé le déploiement d'un voleur d'identifiants nommé EKZ, déguisé en mise à jour Fortinet légitime, via la modification des politiques VPN et l'exécution de scripts par fortitray.exe.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
9.8 (v3.1)
Systèmes affectés
FortiClient EMS 7.4.5 et 7.4.6 (~2000 instances exposées)
Correctif
Disponible — Hotfix 7.4.5 / 7.4.6
Inscrit CISA KEV
Oui

Étapes de remédiation

  1. Appliquer immédiatement le hotfix Fortinet pour 7.4.5 / 7.4.6
  2. Auditer la configuration EMS pour des changements de politiques VPN non autorisés
  3. Rechercher l'infostealer EKZ et les exécutions de scripts via fortitray.exe
  4. Bloquer au périmètre les IP associées à la campagne EKZ
↗ NVD↗ Fortinet PSIRT
CVE-2026-45185 Exim — Exim MTA (builds GnuTLS) 9.8

Use-after-free (CWE-416) dans l'analyse du corps BDAT d'Exim, exploitable à distance sans authentification. Déclenché par un close_notify TLS en milieu de corps pendant un transfert CHUNKING suivi d'un octet en clair, permettant l'écriture en mémoire libérée et potentiellement l'exécution de code arbitraire.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
9.8 (v3.1)
Systèmes affectés
Exim 4.97 à 4.99.2 compilés avec GnuTLS + STARTTLS + CHUNKING. Builds OpenSSL non affectés.
Correctif
Disponible — 4.99.3
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Mettre à jour Exim vers la version 4.99.3 (apt upgrade exim4)
  2. Vérifier la version avec exim -bV
  3. Mitigation partielle : retirer CHUNKING de l'option advertise
  4. Surveiller les journaux mail pour des négociations TLS anormales
↗ NVD↗ Advisory Exim
CVE-2026-44277 Fortinet — FortiAuthenticator 9.8

Contrôle d'accès incorrect (CWE-284) dans l'appliance d'identité FortiAuthenticator. Un attaquant non authentifié peut exécuter du code ou des commandes via des requêtes conçues. Une compromission permettrait de manipuler les politiques d'authentification ou d'émettre des jetons frauduleux.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
9.8 (v3.1)
Systèmes affectés
FortiAuthenticator 6.5.0-6.5.6, 6.6.0-6.6.8, 8.0.0-8.0.2. Cloud non affecté.
Correctif
Disponible — 6.5.7 / 6.6.9 / 8.0.3
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Mettre à jour vers 6.5.7, 6.6.9 ou 8.0.3
  2. Restreindre l'accès aux réseaux d'administration contrôlés
  3. Auditer les journaux d'authentification pour des actions administratives inattendues
↗ NVD↗ Fortinet PSIRT
CVE-2026-26083 Fortinet — FortiSandbox 9.8

Absence d'autorisation (CWE-862) dans l'interface web de FortiSandbox permettant à un attaquant non authentifié d'exécuter du code via des requêtes HTTP. Une appliance compromise pourrait supprimer la détection de malwares ou servir de point de pivot.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
9.8 (v3.1)
Systèmes affectés
FortiSandbox 4.4.0-4.4.8, 5.0.0-5.0.1 ; Cloud 5.0.2-5.0.5 / 24.1.4436 ; PaaS 22.2-23.4
Correctif
Disponible — 4.4.9 / 5.0.2
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Appliquer le correctif adapté : on-prem 4.4.9 ou 5.0.2 ; Cloud 5.0.6
  2. Patcher dans la même fenêtre que CVE-2026-44277 si les deux sont déployés
  3. Auditer les journaux d'analyse pour des soumissions inattendues
↗ NVD↗ Fortinet PSIRT
⚠️ CVE-2026-8181 WordPress — Burst Statistics (plugin) EXPLOIT ACTIF 9.8

Contournement d'authentification (CWE-287) : la fonction is_mainwp_authenticated() interprète une erreur WP_Error comme une authentification réussie. Un attaquant non authentifié peut usurper n'importe quel administrateur via l'API REST et créer un compte administrateur. Exploitation active confirmée par Wordfence.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
9.8 (v3.1)
Systèmes affectés
Burst Statistics 3.4.0 à 3.4.1.1 (~200 000 sites)
Correctif
Disponible — 3.4.2
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Mettre à jour Burst Statistics vers 3.4.2 ou ultérieur
  2. Auditer la liste des utilisateurs pour des comptes administrateurs non reconnus
  3. Réinitialiser les mots de passe et application passwords si le site était vulnérable
  4. Examiner les journaux REST pour des tentatives Basic Auth externes
↗ NVD↗ Wordfence
CVE-2026-8206 WordPress — Kirki (plugin / framework) 9.8

Prise de contrôle de compte via réinitialisation de mot de passe : le plugin accepte un nom d'utilisateur et un e-mail indépendamment sans vérifier leur correspondance. Un attaquant soumet le nom d'un administrateur avec sa propre adresse e-mail et reçoit le jeton de réinitialisation, lui donnant un accès administrateur complet.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
9.8 (v3.1)
Systèmes affectés
Kirki 6.0.0 à 6.0.6 (~150 000 sites vulnérables sur 500 000 installations)
Correctif
Disponible — 6.0.7
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Mettre à jour Kirki vers 6.0.7 ou ultérieur (correctif du 18 mai 2026)
  2. Auditer les comptes administrateurs et e-mails associés
  3. Surveiller les demandes de réinitialisation de mot de passe anormales
↗ NVD↗ SecurityWeek
CVE-2026-5076 WordPress — ARMember Premium (plugin) 9.8

Réinitialisation de mot de passe non sécurisée (CWE-287) : le plugin stocke une copie en clair de la clé de réinitialisation dans le champ meta arm_reset_password_key. Un attaquant ayant un accès à la base de données (via SQLi, sauvegarde compromise) peut extraire la clé et prendre le contrôle de n'importe quel compte, y compris administrateur. Chaînable avec CVE-2026-5073 (SQLi).

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité
CVSS
9.8 (v3.1)
Systèmes affectés
ARMember Premium jusqu'à 7.3.1 incluse
Correctif
Disponible — > 7.3.1
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Mettre à jour ARMember Premium au-delà de 7.3.1
  2. Corriger en parallèle CVE-2026-5073 (injection SQL)
  3. Auditer la base de données et forcer la réinitialisation des clés
  4. Restreindre l'accès à la base et aux sauvegardes
↗ NVD↗ NVD (CVE-2026-5073)
⚠️ CVE-2026-8732 WordPress — WP Maps Pro (plugin) EXPLOIT ACTIF 9.8

Élévation de privilèges permettant à un attaquant non authentifié de créer un compte WordPress disposant de permissions administratives. Des attaquants ont été observés créant des comptes administrateurs frauduleux sur les sites vulnérables.

Vecteur d'attaque
Réseau
Complexité
Faible
Authentification
Aucune
Impact
Confidentialité / Intégrité / Disponibilité
CVSS
9.8 (v3.1)
Systèmes affectés
WP Maps Pro (versions vulnérables jusqu'au correctif éditeur)
Correctif
Disponible — dernière version
Inscrit CISA KEV
Non

Étapes de remédiation

  1. Mettre à jour WP Maps Pro vers la dernière version corrigée
  2. Auditer la liste des utilisateurs pour tout compte administrateur frauduleux
  3. Réinitialiser les identifiants administrateurs si une compromission est suspectée
↗ NVD↗ Threat-Modeling.com