Résumé de la semaine #04 (du 19 au 23 janvier 2026)

Publication du Patch Oracle et alerte de l’ANSSI sur la recrudescence des opérations hacktivistes à l’encontre du parc énergétique français, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

CORRECTIFS PATCH ORACLE ET ALERTE DE L’ANSSI

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle dans le cadre de son Patch de janvier 2026 [1], par Cisco pour WebEX [2], par Zoom [3], par Atlassian pour BitBucket [4], par Microsoft pour Edge [5] et par Gitlab [6]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Code d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour l’un d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Gogs [7]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-8110 et affectant Gogs a été publié. L’exploitation de cette faille permet à un attaquant distant et authentifié d’exécuter du code de manière arbitraire et ainsi prendre le contrôle du système. Ce code d’exploitation se présente sous la forme d’un template Nuclei. Il permet d’envoyer une requête GET vers le chemin /user/login, puis de récupérer la version de Gogs affichée dans la page. Il vérifie ensuite que la réponse contient le texte attendu dans le corps et que la version détectée est vulnérable à la version 0.13.3. Par cet intermédiaire l’attaquant peut ainsi identifier des produits vulnérables à la CVE-2025-8110 et prendre le contrôle du système. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Manipulation de données et divulgation d’information via une vulnérabilité au sein de GLPI [8]

Un code d’exploitation tirant parti de l’une des vulnérabilités présentées dans le bulletin CXA-2025-7069 a été publié. La vulnérabilité en question, référencée CVE-2025-66417, affecte GLPI. L’exploitation de cette faille permet à un attaquant distant et non authentifié d’accéder à des données et de manipuler ces dernières via une injection SQL. Ce code d’exploitation se présente sous la forme d’une requête web. Le code effectue une requête HTTP POST vers /front/inventory.php avec un corps XML de type inventaire contenant get_params. Le paramètre deviceid est ensuite injecté avec une charge utile SQL placée dans une section CDATA afin de casser la requête SQL et d’y ajouter une expression error-based via EXTRACTVALUE(). La charge utile provoque volontairement une erreur XPath dont le message contient le résultat d’un SELECT. Si la réponse HTTP renvoie une erreur contenant la mention XPATH syntax error et que le marqueur ~…~ apparaît avec la valeur extraite, alors l’instance GLPI est vulnérable à la SQLi non authentifiée sur l’endpoint d’inventaire. Le CERT-XMCO recommande l’installation de la version 11.0.3 de GLPI disponible à l’adresse suivante : https://github.com/glpi-project/glpi/releases/tag/11.0.3

INFORMATIONS

Vulnérabilités

Exploitation automatisée d’une vulnérabilité contournant la CVE-2025-59718 et affectant les solutions Fortinet [9]

Le 21 janvier 2026, les chercheurs d’Arctic Wolf et des utilisateurs de Reddit ont signalé des activités malveillantes automatisées consistant à modifier sans autorisation la configuration de plusieurs produits Fortinet dont FortiGate, FortiOS, FortiWeb, FortiProxy et FortiSwitchManager. Les acteurs de la menace exploiteraient un contournement de la CVE-2025-59718, utilisant une réponse SAML spécialement conçue pour dépasser l’authentification SSO et franchir certaines restrictions de sécurité. Cette vulnérabilité avait déjà été exploitée activement en décembre 2025 après la publication du correctif (cf. CXN-2025-7371, CXA-2025-7187). Selon les utilisateurs de Reddit, les développeurs de Fortinet ont confirmé que la faille persistait ou n’était pas corrigée dans la version 7.4.10, et qu’un correctif est prévu dans les prochaines versions 7.4.11, 7.6.6 et 8.0.0.

Exploitation malveillante de la faille de sécurité critique CVE-2026-23760 affectant SmarterMail [10]

Le 22 janvier 2026, les chercheurs de WatchTowr ont publié une alerte de sécurité à la suite de l’identification d’une faille affectant le serveur de messagerie et l’outil de collaboration SmarterMail de SmarterTools. Cette vulnérabilité, désormais corrigée, permettait à un attaquant de réinitialiser le mot de passe de l’administrateur système et d’élever ses privilèges sur les instances vulnérables. Référencée CVE-2026-23760, la faille serait activement exploitée par des acteurs malveillants. Afin d’endiguer les risques associés à cette vulnérabilité, le CERT-XMCO recommande l’installation de la version Build 9511 du logiciel affecté. Par ailleurs, Huntress a également publié divers indicateurs de compromission relatifs à cette campagne d’attaques, disponibles ici.

Le mode opératoire UAT-8837 exploite la faille de sécurité CVE-2025-53690 lors d’attaques contre des infrastructures critiques en Amérique du Nord [11]

Le 15 janvier 2026, les chercheurs de Cisco Talos ont publié un bulletin de sécurité alertant sur une campagne d’espionnage opérée par le cluster étatique chinois UAT-8837 en Amérique du Nord. Ce mode opératoire serait motivé par des objectifs de collecte de renseignements et ciblerait activement des infrastructures critiques via l’exploitation de multiples failles de sécurité N-day et 0-day, ou bien via le détournement d’identifiants préalablement compromis.

France

L’ANSSI alerte sur une recrudescence des opérations hacktivistes à l’encontre du parc énergétique français [12]

Le 22 janvier 2026, l’ANSSI a publié un communiqué alertant sur une recrudescence des opérations hacktivistes visant des installations industrielles du secteur de l’énergie et de l’eau, principalement exploitées par de petites structures et des particuliers, dont les interfaces de gestion sont exposées sur Internet. L’analyse met en évidence l’exploitation de faiblesses de sécurité des équipements industriels connectés accessibles à distance, parfois sans authentification ou protégés par des mots de passe par défaut. Ces attaques seraient principalement orchestrées par des groupes hacktivistes peu sophistiqués cherchant à médiatiser leurs actions.

Compromission de l’URSSAF ayant entrainé une fuite de données massive [13]

Le 19 janvier 2026, l’Union de recouvrement des cotisations de sécurité sociale et d’allocations familiales (URSSAF) a signalé un incident de sécurité ayant permis un accès non autorisé à l’API “déclaration préalable à l’embauche” (DPAE), à la suite de la compromission du compte d’un prestataire. Cette intrusion a concerné 12 millions de salariés récemment embauchés au cours des trois dernières années et a entraîné l’exfiltration uniquement de données personnelles. À la suite de cet événement, l’URSSAF a bloqué l’adresse IP utilisée et supprimé le compte frauduleux. Elle a également précisé que ses systèmes d’information n’avaient pas été compromis et que le service de déclaration préalable à l’embauche restait pleinement opérationnel et accessible aux employeurs.

Compromission de HubEE, appartenant à la direction interministérielle du numérique [14]

Le 16 janvier 2026, la Direction interministérielle du numérique (DINUM) a annoncé un incident de sécurité ayant touché la plateforme d’échange de documents HubEE, qu’elle gère pour plusieurs administrations afin de faciliter des démarches en ligne, y compris certaines disponibles sur le site service-public.gouv.fr. L’auteur de l’attaque, dont l’identité n’a pas été communiquée, a réussi à exfiltrer environ 70 000 dossiers, soit 160 000 documents, contenant parfois des informations sensibles. Cette intrusion, survenue le 9 janvier, a conduit les équipes techniques à fermer temporairement le service, qui a été rouvert le 12 janvier. La CNIL, l’ANSSI et le Premier ministre ont été informés de l’incident, et une plainte a été déposée.

Compromission de données personnelles appartenant à plus de 5.8 millions de candidats étrangers aux examens de français langue étrangère [15]

Le 13 janvier 2026, la plateforme France Éducation International a publié un communiqué concernant une cyberattaque ayant visé la plateforme GAEL, utilisée pour la gestion des examens DELF et DALF. Cette cyberattaque ferait suite à la compromission de plusieurs comptes externes entre le 9 et le 12 janvier de la même année. Les cybercriminels auraient exploité des identifiants valides dépourvus d’authentification multifactorielle pour accéder à la plateforme et extraire les données personnelles de 5.8 millions de candidats étrangers aux examens de français langue étrangère depuis 2005.

---

Références portail XMCO

[1]

• https://www.oracle.com/security-alerts/cpujan2026.html
• https://www.oracle.com/security-alerts/cpujan2026verbose.html

[2]

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b
• https://www.cisa.gov/news-events/alerts/2026/01/21/cisa-adds-one-known-exploited-vulnerability-catalog

[3]

• https://www.zoom.com/en/trust/security-bulletin/zsb-26001/

[4]

• https://confluence.atlassian.com/security/security-bulletin-january-20-2026-1712324819.html

[5]

• https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

[6]

• https://about.gitlab.com/releases/2026/01/21/patch-release-gitlab-18-8-2-released/

[7]

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-8110.yaml

[8]

• https://github.com/lem0naids/CVE-2025-66417-POC
• https://github.com/glpi-project/glpi/security/advisories/GHSA-p467-682w-9cc9

[9]

• https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/
• https://www.reddit.com/r/fortinet/comments/1qibdcb/possible_new_sso_exploit_cve202559718_on_749/
• https://thehackernews.com/2026/01/automated-fortigate-attacks-exploit.html

[10]

• https://labs.watchtowr.com/attackers-with-decompilers-strike-again-smartertools-smartermail-wt-2026-0001-auth-bypass/
• https://www.bleepingcomputer.com/news/security/smartermail-auth-bypass-flaw-now-exploited-to-hijack-admin-accounts/
• https://www.huntress.com/blog/smartermail-account-takeover-leading-to-rce

[11]

• https://blog.talosintelligence.com/uat-8837/
• https://www.bleepingcomputer.com/news/security/china-linked-hackers-exploited-sitecore-zero-day-for-initial-access/

[12]

• https://www.cert.ssi.gouv.fr/dur/CERTFR-2025-DUR-003/
• https://www.cert.ssi.gouv.fr/cti/CERTFR-2024-CTI-011/
• https://www.clubic.com/actualite-596704-un-parc-eolien-francais-paralyse-par-des-hacktivistes-et-des-infrastructures-hydrauliques-menacees-l-anssi-alerte.html

[13]

• https://www.urssaf.org/accueil/espace-medias/communiques-et-dossiers-de-press/communiques-de-presse/2026/l-urssaf-appelle-a-la-vigilance-.html
• https://www.01net.com/actualites/fuite-de-donnees-a-lurssaf-les-informations-de-12-millions-de-salaries-potentiellement-compromises.html

[14]

• https://www.numerique.gouv.fr/sinformer/espace-presse/incident-hubee/
• https://www.clubic.com/actualite-595606-l-etat-confirme-la-cyberattaque-160-000-documents-contenant-des-donnees-sensibles-recuperees-par-les-pirates.html
• https://www.linkedin.com/posts/clementdomingo_cyberalert-france-service-public-activity-7417500641842855936-m-Ab?utm_source=social_share_send&utm_medium=member_desktop_web&rcm=ACoAABqhBtkBuNtr8PotlVlwh-T8lqzQ3tNsi94

[15]

• https://www.france-education-international.fr/actualites/incident-sur-la-plateforme-gael-diplomes-delf-dalf
• https://www.01net.com/actualites/cyberattaque-contre-education-nationale-donnees-5-millions-personnes-piratees.html