Nous ouvrons cet épisode avec l’ajout par la CISA de la CVE-2026-20805 à son catalogue Known Exploited Vulnerabilities. Cette faille de type Information Disclosure affecte Microsoft Windows et fait l’objet d’une exploitation active en conditions réelles. Le Binding Operational Directive 22-01 impose aux agences fédérales civiles de corriger les vulnérabilités du catalogue KEV dans les délais impartis.
Le CERT-FR a publié cinq avis de sécurité le 13 janvier 2026. MISP est touché par une vulnérabilité XSS corrigée en version 2.5.32. VMware Tanzu GemFire fait l’objet de quatre CVE permettant l’exécution de code arbitraire à distance, avec des correctifs dans les versions 10.1.6 et 10.2.1. MariaDB publie des correctifs pour quatre vulnérabilités affectant six branches de versions. NetApp ONTAP est concerné par la CVE-2026-22050, une faille de contournement de politique de sécurité sur les versions 9.16 et 9.17.
Enfin, Google déploie un correctif pour la CVE-2025-48647, une vulnérabilité d’élévation de privilèges affectant l’ensemble de la gamme Pixel dans le bulletin de sécurité Android de janvier 2026.
Sources :
- CISA – CVE-2026-20805 KEV :https://www.cisa.gov/news-events/alerts/2026/01/13/cisa-adds-one-known-exploited-vulnerability-catalog
- CERT-FR – Avis MISP :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0030/
- CERT-FR – Avis VMware Tanzu GemFire :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0029/
- CERT-FR – Avis MariaDB :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0028/
- CERT-FR – Avis NetApp ONTAP :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0027/
- CERT-FR – Avis Google Pixel :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0026/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com