Le CERT-FR, service de l'ANSSI, a diffusé le 26 mai 2026 son bulletin d'actualité n° CERTFR-2026-ACT-023, qui dresse le bilan des vulnérabilités les plus significatives de la semaine précédente. Parmi celles-ci, deux failles atteignent le score maximal de 10 sur l'échelle CVSS, tandis que plusieurs autres, déjà activement exploitées, exigent une application rapide des correctifs.
Cisco Secure Workload et Microsoft Azure au plus haut niveau de criticité
La vulnérabilité identifiée sous la référence CVE-2026-20223, affectant Cisco Secure Workload, a reçu un score CVSS de 10. Cette faille de type contournement de la politique de sécurité permet à un attaquant non authentifié de compromettre le système à distance. Publiée le 20 mai 2026, elle ne dispose pas, à ce stade, d'information publique sur son exploitation. Le même jour, Microsoft a confirmé une vulnérabilité critique dans son service Azure, référencée CVE-2026-42822, également notée 10 sur l'échelle CVSS. Cette faille, de type exécution de code arbitraire à distance, expose les environnements cloud aux mêmes risques et doit être corrigée en priorité.
Drupal : une injection SQL activement exploitée
Le système de gestion de contenu Drupal est visé par une vulnérabilité d'injection SQL (CVE-2026-9082), avec un score CVSS de 9,8. Publiée le 20 mai 2026, elle est déjà exploitée dans la nature, ce qui en fait une menace immédiate pour tous les sites utilisant le CMS. Le correctif a été diffusé par l'éditeur le même jour. Le CERT-FR rappelle que toute installation Drupal doit être mise à jour sans délai.
F5 NGINX et autres correctifs urgents
F5 a annoncé une faille dans son produit NGINX, référencée CVE-2026-42945, avec un score CVSS de 9,2. Cette vulnérabilité, publiée le 19 mai 2026, permet l'exécution de code arbitraire à distance ainsi que des dénis de service. Elle est également activement exploitée. Le même identifiant CVE a été utilisé par Microsoft pour signaler une faille dans Azure, ce qui suggère une composante partagée ou une similitude de vecteur d'attaque.
Microsoft a également publié des correctifs pour deux autres produits de sécurité : le Microsoft Malware Protection Engine (CVE-2026-41091, score 7,8) et la plateforme Microsoft Defender Antimalware (CVE-2026-45498, score 7,5). Les deux vulnérabilités sont activement exploitées. La première permet un contournement de la politique de sécurité avec un accès local, tandis que la seconde cause un déni de service à distance.
Trend Micro a corrigé une faille de contournement de la politique de sécurité dans ses solutions Apex One et Vision One (CVE-2026-34926, score 6,7), également exploitée. Enfin, Microsoft a publié un correctif pour une vulnérabilité affectant Windows Server 2025 et Windows 11 (versions 24H2, 25H2 et 26H1), référencée CVE-2026-45585 (score 6,8). Cette faille, qui nécessite un accès physique, dispose d'un code d'exploitation public.
Recommandations du CERT-FR
Le bulletin insiste sur le fait que cette synthèse ne remplace pas une analyse détaillée des risques. Toutes les vulnérabilités listées doivent être prises en compte et faire l'objet d'un plan d'action, en priorisant l'application des correctifs fournis par les éditeurs. Le CERT-FR renvoie aux avis individuels pour chaque produit, disponibles sur son site, ainsi qu'aux communications officielles des éditeurs concernés. Les utilisateurs sont invités à vérifier la présence des mises à jour de sécurité et à les déployer rapidement, en particulier pour les failles déjà exploitées.
