Ivanti, Check Point et Oracle parmi les cibles des failles critiques de la semaine 24

L'agence française de cybersécurité a publié lundi 15 juin 2026 son bulletin d'actualité pour la semaine 24, mettant en avant des vulnérabilités jugées significatives et pour certaines déjà activement exploitées dans la nature. Ce rapport recense notamment une faille touchant le produit Sentry de l'éditeur Ivanti, référencée CVE-2026-10520, qui a obtenu le score maximal de 10 sur l'échelle CVSS (Common Vulnerability Scoring System).

Cette vulnérabilité, qualifiée d'exécution de code arbitraire à distance (RCE), permet à un attaquant non authentifié d'exécuter du code malveillant sur un système vulnérable sans interaction utilisateur. Le CERT-FR précise que cette faille est activement exploitée.

Une seconde vulnérabilité concernant le même produit Ivanti Sentry, identifiée sous le code CVE-2026-10523, a reçu un score de 9,9/10 et concerne un contournement de la politique de sécurité. Un code d'exploitation (proof of concept) a été rendu public pour cette dernière, augmentant le risque de passages à l'acte.

Le bulletin du CERT-FR fait également état de plusieurs autres failles critiques. Chez Oracle, le logiciel PeopleSoft est visé par la vulnérabilité CVE-2026-35273, notée 9,8/10, permettant également une exécution de code à distance. Cette faille est aussi signalée comme activement exploitée.

L'éditeur de cybersécurité Check Point n'est pas en reste : ses produits Security Gateways et Spark Firewalls sont affectés par une vulnérabilité notée 9,3/10 (CVE-2026-50751), permettant un contournement de la politique de sécurité. Là encore, une exploitation active a été observée.

Par ailleurs, le navigateur Chrome de Google est la cible de la faille CVE-2026-11645, côté 8,8/10 et également exploitée activement. Cette vulnérabilité nécessite toutefois une interaction de l'utilisateur, ce qui réduit légèrement sa criticité.

L'ensemble de ces vulnérabilités a été rendu public entre le 8 et le 14 juin 2026. Le CERT-FR rappelle que ce bulletin ne remplace pas une analyse de risque complète et invite les responsables de systèmes d'information à consulter les avis détaillés de l'agence ainsi que les correctifs fournis par les éditeurs pour chaque produit concerné.

Les correctifs sont d'ores et déjà disponibles pour la quasi-totalité des failles listées : Ivanti a publié une mise à jour de sécurité pour Sentry, Oracle a diffusé un correctif pour PeopleSoft, Check Point a mis à disposition son correctif sur son portail de support, et Google a intégré le correctif dans la version stable de Chrome diffusée début juin. Les administrateurs sont invités à appliquer ces mises à jour dans les plus brefs délais, en priorisant les systèmes exposés aux réseaux publics.

Cette nouvelle vague de vulnérabilités intervient dans un contexte où le CERT-FR avait déjà alerté fin mai et début juin sur des failles critiques affectant Samba, Joomla! et Veeam, montrant une intensification des menaces pesant sur des logiciels largement déployés en entreprise.