Nous ouvrons cet épisode avec les prévisions de vulnérabilités publiées par FIRST pour 2026. L’organisation anticipe le franchissement du seuil des 50 000 CVE avec une estimation médiane à 59 000 vulnérabilités pour l’année. L’intervalle de confiance à 90% s’établit entre 30 000 et 118 000 CVE, les scénarios les plus probables évoquant une fourchette de 70 000 à 100 000 vulnérabilités. FIRST a revu sa méthodologie en adoptant un nouveau modèle qui intègre le changement structurel observé en 2017 dans les tendances de publication de CVE.
BleepingComputer rapporte la publication de correctifs par Veeam pour trois vulnérabilités dans Backup & Replication. La CVE-2025-59470, initialement classée critique puis réévaluée en haute sévérité, permet à un utilisateur disposant des rôles Backup Operator ou Tape Operator d’exécuter du code distant en tant qu’utilisateur postgres. La version 13.0.1.1071 publiée le 6 janvier corrige également les CVE-2025-55125 et CVE-2025-59468. Les serveurs VBR constituent une cible privilégiée des opérateurs ransomware, plusieurs groupes ayant précédemment exploité des vulnérabilités similaires dans des campagnes documentées.
VulnCheck signale une vulnérabilité critique d’injection de commandes affectant plusieurs modèles de routeurs DSL D-Link. La CVE-2026-0625, avec un score CVSS de 9.3, exploite le endpoint dnscfg.cgi et permet à un attaquant distant non authentifié d’exécuter des commandes shell arbitraires. Les modèles DSL-526B, DSL-2640B, DSL-2740R et DSL-2780B sont concernés. The Shadowserver Foundation a observé des preuves d’exploitation le 27 novembre 2025. D-Link a déclaré l’ensemble des équipements en statut End-of-Life début 2020.
Le CERT-FR a publié l’avis CERTFR-2026-AVI-0010 concernant six vulnérabilités dans Curl. Les versions 7.17 à 8.x antérieures à 8.18.0 sont affectées. L’exploitation permet une atteinte à la confidentialité des données et un contournement de la politique de sécurité. La version 8.18.0 corrige l’ensemble des failles identifiées.
Enfin, la CISA a ajouté deux vulnérabilités à son catalogue KEV le 7 janvier. La CVE-2009-0556 affecte Microsoft Office PowerPoint et la CVE-2025-37164 concerne HPE OneView, toutes deux permettant l’injection de code. L’agence confirme des preuves d’exploitation active dans les deux cas.
Sources :
FIRST – Prévisions vulnérabilités 2026 : https://www.first.org/blog/20260211-vulnerability-forecast-2026
BleepingComputer – Vulnérabilités Veeam : https://www.bleepingcomputer.com/news/security/new-veeam-vulnerabilities-expose-backup-servers-to-rce-attacks/
VulnCheck – D-Link DSL injection : https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpoint
CERT-FR – Vulnérabilités Curl : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0010/
CISA – KEV Catalog : https://www.cisa.gov/news-events/alerts/2026/01/07/cisa-adds-two-known-exploited-vulnerabilities-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com