Selon la CISA, sept vulnérabilités ont été ajoutées au catalogue Known Exploited Vulnerabilities ce 20 mai 2026. Le lot mêle cinq failles Windows datant de 2008 à 2010 et deux vulnérabilités très récentes touchant Microsoft Defender : CVE-2026-41091, élévation de privilèges, et CVE-2026-45498, déni de service. D’après Barracuda Networks, ces deux failles s’inscrivent dans la campagne ouverte depuis avril 2026 par le chercheur Chaotic Eclipse, alias Nightmare-Eclipse, auteur de six zero-days successifs visant Microsoft en représailles d’un différend avec le MSRC. Les premiers exploits du même auteur, BlueHammer, RedSun et UnDefend, ont déjà été observés en exploitation hands-on-keyboard par Huntress, après initial access via SSL-VPN compromis. L’infrastructure observée est géolocalisée en Russie.
D’après le Drupal Security Team, l’avis SA-CORE-2026-004 corrige CVE-2026-9082, une injection SQL critique scorée 20 sur 25 dans l’API d’abstraction de base de données du core. La faille permet à un utilisateur anonyme de déclencher une injection SQL arbitraire conduisant à divulgation d’information, escalade de privilèges ou exécution de code à distance. Seuls les sites utilisant PostgreSQL sont exposés au vecteur SQL. Les releases intègrent toutefois des correctifs upstream coordonnés Symfony et Twig qui concernent l’ensemble du parc, indépendamment du moteur de base de données. Les versions corrigées sont 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 et 10.4.10.
L’Internet Systems Consortium publie un lot de quatre vulnérabilités affectant BIND 9, relayé par le Centre canadien pour la cybersécurité sous la référence AV26-490. La plus notable est CVE-2026-3593, une heap use-after-free dans l’implémentation DNS-over-HTTPS, exploitable à distance via du trafic HTTP/2 spécialement conçu, et scorée 7.4. La corruption mémoire touche serveurs autoritaires et résolveurs, sans authentification. Les versions concernées sont BIND 9.20.0 à 9.20.22 et 9.21.0 à 9.21.21. La branche 9.18 n’est pas affectée. Le bulletin couvre également CVE-2026-3039, CVE-2026-5947 et CVE-2026-5946 portant respectivement sur GSS-API TKEY, SIG(0) sous query flood et la gestion des classes DNS.
Le projet OpenBSD publie le 19 mai 2026 la version 7.9, soixantième release du système. Côté OpenSSH, dont OpenBSD est l’amont, sshd_config introduit une pénalité configurable applicable aux tentatives de connexion avec utilisateur invalide, mécanisme natif de mitigation du brute force SSH. Le packet filter pf intègre un limiteur de création d’états par source pour contenir les floods. Le mécanisme pledge, qui restreint les appels système d’un processus, bénéficie de plusieurs améliorations renforçant la mitigation des vulnérabilités exploitables. La version embarque également le support des VLAN dans les ponts Ethernet virtuels veb, le support des certificats par IP dans acme-client et le passage à 255 processeurs amd64.
Sources :
- CISA Adds Seven Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalog
- Drupal core – Highly critical – SQL injection – SA-CORE-2026-004 — Drupal.org : https://www.drupal.org/sa-core-2026-004
- Bulletin de sécurité ISC BIND (AV26-490) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-isc-bind-av26-490
- Sortie de la 60ᵉ version d’OpenBSD — LinuxFR : https://linuxfr.org/news/sortie-de-la-60-version-d-openbsd
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #ChaoticEclipse #NightmareEclipse #MicrosoftDefender #BlueHammer #RedSun #UnDefend #Huntress #Barracuda #ZeroDay #Drupal #SACORE2026004 #CVE20269082 #SQLInjection #PostgreSQL #Symfony #Twig #ISC #BIND #DNS #DoH #DNSOverHTTPS #UseAfterFree #OpenBSD #OpenSSH #pf #pledge #LibreSSL #PatchManagement #RadioCSIRT