🌐 Le CERT-FR recense près de cinq cents CVE corrigées d’un seul coup dans Microsoft Edge, dans ses versions antérieures à la 149.0.4022.52. L’éditeur classe ces failles comme un problème de sécurité non spécifié, sans détailler ni le vecteur ni le niveau de risque. L’élément distinctif reste l’ampleur exceptionnelle de ce lot corrigé en une seule vague, sur la base de code partagée avec Chromium.
🐘 Une vulnérabilité dans le framework PHP Laravel, suivie sous CVE-2026-48041, ouvre la voie à un contournement de la politique de sécurité. Elle touche les versions 13.x antérieures à la 13.12.0 et toutes les versions antérieures à la 12.61.1. L’enjeu tient à la surface d’exposition : Laravel sert de socle à un très grand nombre d’applications web, ce qui élargit mécaniquement le périmètre concerné.
🖥️ VMware dévoile trois vulnérabilités de type stored XSS dans Cloud Foundation Operations, regroupées dans l’avis VMSA-2026-0004 et notées 8,0. Faute de validation correcte des entrées, un attaquant peut y stocker des charges JavaScript qui s’exécutent dans le navigateur d’un administrateur. Sans solution de contournement, seul le correctif protège, avec un risque de pivot vers vCenter.
📦 Le SANS ISC fait le point sur la campagne supply chain attribuée à TeamPCP. La CISA a inscrit deux CVE à son catalogue des vulnérabilités exploitées, avec une échéance au 10 juin. Le framework Mini Shai-Hulud, rendu public, a produit sa première vague npm d’ampleur : le Worm « Miasma » a compromis au moins 32 paquets sous le scope @redhat-cloud-services, avec des attestations de provenance SLSA valides.
🕵️ WhatsApp accuse NSO Group de nouvelles attaques de Spearphishing contre ses utilisateurs, en violation d’une injonction judiciaire d’octobre. D’après Meta, l’éditeur de logiciels espions a employé des techniques d’ingénierie sociale pour pousser les victimes vers des liens malveillants hébergés hors de la plateforme. WhatsApp saisit la justice fédérale pour faire reconnaître NSO en outrage à l’injonction.
Sources :
- Multiples vulnérabilités dans Microsoft Edge — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0700/
- Vulnérabilité dans Laravel — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0703/
- Multiple VMware Stored XSS Flaw Enable Attackers to Inject Malicious Scripts — GBHackers : https://gbhackers.com/multiple-vmware-stored-xss-flaw/
- TeamPCP Supply Chain Campaign: Activity Through 2026-06-07 — SANS ISC : https://isc.sans.edu/diary/rss/33060
- WhatsApp says NSO targeted users with attacks against court order — The Record : https://therecord.media/whatsapp-says-nso-targeted-users-with-attacks-against-court-order
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #MicrosoftEdge #Chromium #CVE #Laravel #PHP #CVE202648041 #VMware #CloudFoundation #StoredXSS #VMSA20260004 #vCenter #SupplyChain #TeamPCP #MiniShaiHulud #npm #Miasma #Worm #SLSA #CISA #KEV #RedHat #NSOGroup #WhatsApp #Spearphishing #Spyware #SocialEngineering #PatchManagement #RadioCSIRT