Deux failles critiques au score CVSS maximal découvertes dans Samba, Joomla! et Veeam également concernés

Des scores de criticité maximale pour Samba

L'équipe de réaction aux incidents informatiques (CERT-FR) a diffusé, le 1ᵉʳ juin, son bulletin d'actualité couvrant la semaine du 25 au 31 mai. Ce document recense les vulnérabilités les plus préoccupantes apparues durant cette période et rappelle l'importance d'appliquer les correctifs fournis par les éditeurs.

Deux failles affectant le logiciel libre Samba, identifiées sous les références CVE-2026-4408 et CVE-2026-4480, ont obtenu la note maximale de 10 sur l'échelle CVSS v3.1. Toutes deux permettent une exécution de code arbitraire à distance. Le vecteur d'attaque est réseau, sans nécessité d'authentification préalable, ce qui expose les systèmes concernés à une prise de contrôle complète. Les correctifs ont été publiés par l'équipe Samba le 26 mai.

Joomla! et Veeam également en alerte

Le système de gestion de contenu Joomla! est visé par une vulnérabilité côté serveur (CVE-2026-48902) notée 9,8 sur l'échelle CVSS. Elle permet un contournement de la politique de sécurité lors de la réinitialisation des mots de passe et des noms d'utilisateur, en abaissant le niveau de chiffrement du transport. Le correctif a été intégré dans une mise à jour de sécurité publiée le 26 mai.

Du côté des solutions de sauvegarde, la Veeam Service Provider Console est concernée par la faille CVE-2026-32998, avec un score CVSS v4.0 de 9,4. Celle-ci autorise l'exécution de code arbitraire à distance pour un attaquant déjà authentifié. L'éditeur a diffusé des correctifs le 27 mai.

Une faille dans Oracle Database Server

Oracle a corrigé le 28 mai une vulnérabilité dans son Database Server, référencée CVE-2026-46833, dont la note CVSS v3.1 s'élève à 9. Bien que la complexité d'attaque soit jugée élevée, l'impact sur la confidentialité et l'intégrité des données est total, avec un périmètre affecté élargi (score CVSS modifié à 9). Aucune authentification n'est requise pour l'exploiter.

Roundcube : correctifs disponibles

Le webmail Roundcube a fait l'objet, le 24 mai, d'un avis de sécurité concernant plusieurs vulnérabilités. Certaines d'entre elles permettent une exécution de code arbitraire à distance ou une injection SQL sans qu'aucune identification ne soit nécessaire. Les versions 1.6.16 et 1.7.1, publiées le même jour, corrigent ces failles.

Autres vulnérabilités notables

Le bulletin du CERT-FR mentionne également deux vulnérabilités déjà exploitées dans la nature, bien qu'elles aient été rendues publiques avant la semaine sous revue. La première touche les plugins LiteSpeed pour cPanel et WHM (CVE-2026-48172, score CVSS v4.0 de 10). Elle permet une élévation de privilèges et a fait l'objet d'un correctif le 21 mai. La seconde concerne le logiciel Daemon Tools édité par Disc-Soft (CVE-2026-8398, score CVSS v4.0 de 9,3) et constitue un contournement de la politique de sécurité. L'éditeur a communiqué sur cet incident le 15 mai.

Recommandations du CERT-FR

Le CERT-FR rappelle que ce bulletin d'actualité ne remplace pas l'analyse exhaustive de l'ensemble des avis et alertes qu'il publie. Il invite les responsables de la sécurité des systèmes d'information à examiner chaque vulnérabilité mentionnée dans ses avis et à définir un plan d'action pour l'application des correctifs, en fonction des risques spécifiques à leur environnement. Les correctifs sont disponibles auprès des éditeurs concernés.