Semaine marquée par une concentration inhabituelle d'attaques de la chaîne d'approvisionnement (Nx Console, TanStack, DAEMON Tools) ajoutées simultanément au catalogue KEV de la CISA le 27 mai, combinée à deux vulnérabilités CVSS 10.0 préauth sur des services exposés (Oracle REST Data Services, ChromaDB). L'exploitation active confirmée du plugin LiteSpeed cPanel et le défaut critique d'Exim Dead.Letter portent le niveau global à CRITIQUE. Priorité absolue : audit des dépendances npm / VSCode des équipes développement, application immédiate des patches LiteSpeed, Oracle CSPU mai 2026, Exim 4.99.3, isolation des serveurs ChromaDB exposés en attendant un correctif officiel.
Faille d'attribution de privilèges incorrecte dans la fonction lsws.redisAble
du plugin LiteSpeed User-End cPanel. Tout utilisateur cPanel
authentifié peut exécuter des scripts arbitraires en root via l'API JSON
cPanel standard. Exploitation active confirmée par LiteSpeed et ajout
au catalogue KEV CISA le 26 mai 2026.
LiteSpeed User-End cPanel Plugin versions 2.3 à 2.4.4 — environnements d'hébergement mutualisé Linux/cPanel.
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall.lsws.redisAble.Vulnérabilité critique du composant Backend-as-a-Service d'ORDS. Un attaquant non authentifié disposant d'un accès HTTPS peut compromettre intégralement l'instance et en prendre le contrôle. Publiée le 28 mai 2026 dans le CSPU Oracle de mai 2026.
Oracle REST Data Services versions 24.2.0 à 26.1.0 — y compris les déploiements cloud et on-premise.
Injection de code pré-authentification sur le serveur Python
(FastAPI) de ChromaDB. Un attaquant non authentifié peut exécuter du
code arbitraire en envoyant un dépôt de modèle malveillant avec trust_remote_code=true sur l'endpoint /api/v2/tenants/{tenant}/databases/{db}/collections. ~73 % des instances exposées sont vulnérables et aucun correctif officiel n'est disponible.
ChromaDB Python server (FastAPI) versions 1.0.0 et supérieures. Le serveur Rust (chroma run) n'est pas affecté.
chroma run) au lieu du serveur Python FastAPI.Compromission de la chaîne d'approvisionnement : une version malveillante (18.95.0) de l'extension Nx Console pour Visual Studio Code a été publiée le 19 mai 2026 sur le Visual Studio Marketplace (~18 min) et OpenVSX (~36 min). La charge utile obfusquée exfiltrait jetons GitHub/npm, identifiants AWS, jetons Vault, clés SSH, sessions 1Password, identifiants Kubernetes/Docker.
Extension Nx Console v18.95.0 (toutes plateformes : Windows, macOS, Linux). Version 18.100.0 et supérieures saines.
Vulnérabilité use-after-free dans le parsing BDAT d'Exim (MTA).
Un attaquant distant non authentifié peut déclencher une corruption de
tas en envoyant un alert TLS close_notify avant la fin du
transfert du corps de message, suivi d'un octet en clair sur la même
connexion TCP. Conduit potentiellement à l'exécution de code à distance.
Exim 4.97 à 4.99.2 inclusivement, builds avec support GnuTLS. Les builds OpenSSL ne sont pas impactés.
exim -bV — les builds GnuTLS doivent être patchés en priorité.Attaque de la chaîne d'approvisionnement : les installeurs officiels de DAEMON Tools Lite distribués depuis daemon-tools.cc entre le 8 avril et le 5 mai 2026 ont été trojanisés (DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe). Les binaires ont été signés avec le certificat légitime AVB Disc Soft, contournant la détection par signature.
DAEMON Tools Lite Windows versions 12.5.0.2421 à 12.5.0.2434. Les versions 12.6 et supérieures sont saines.
Attaque de la chaîne d'approvisionnement npm : 84 versions malveillantes publiées sur 42 packages @tanstack/* (notamment arktype-adapter, eslint-plugin-router, eslint-plugin-start) le 11 mai 2026 (19:20–19:26 UTC). La charge malveillante exfiltrait credentials cloud, jetons GitHub et clés SSH des environnements de développement.
Packages npm @tanstack/* publiés dans la fenêtre du 11 mai 2026 (19:20–19:26 UTC).
package-lock.json / yarn.lock pour versions @tanstack/* installées le 11 mai 2026.