Patch Tuesday, PeopleSoft, Ivanti (du 6 au 12 juin 2026)

Patch Tuesday de Microsoft et exploitation comme 0-day de la vulnérabilité CVE-2026-35273 affectant OraclePeopleSoft par ShinyHunters, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

‍

Correctifs

‍

Cette semaine, leCERT-XMCO recommande en priorité l’application des correctifs publiés parMicrosoft dans le cadre de son Patch Tuesday [1] et pour Edge [2] par Google pour Chrome [3] [4], par n8n [5] [6] [7], par Oracle pour PeopleSoft [8], par Veeam pour Backup & Replication [9], par Ivanti pour Sentry [10], par SAP [11], par TYPO3 [12], par Grafana [13], par Python [14], par Solarwinds pour Serv-U [15], par AWS (Amazon Web Services) [16] et par MariaDB pour Enterprise Server [17].

‍

Code d’exploitation

‍

Cette semaine un code d'exploitation a été publié cette semaine. Un correctif est disponible.

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein d'Ivanti Sentry [18]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-10520 et affectant Ivanti Sentry a été publié. L’exploitation de cette faille permet à un attaquant distant et non authentifié d'exécuter du code à distance avec les privilèges root. Ce code d'exploitation se présente sous la forme d'une requête HTTP POST envoyée directement au serveur Ivanti Sentry exposé sur le réseau, ciblant l'endpoint /mics/api/v2/sentry/mics-config/handleMessage. Le paramètre message de cette requête, censé transporter une commande de configuration interne, accepte sans vérification une entrée arbitraire de l'attaquant. Celui-ci y glisse un bloc XML malveillant contenant le champ reqandres, dans lequel il insère la commande système de son choix et le serveur l'exécutera alors nativement avec les privilèges root. Le CERT-XMCO recommande

‍

Vulnérabilités

‍

Exploitation active de la vulnérabilité CVE-2026-10520 affectant Ivanti Sentry [19]

Le 10 juin 2026, la Shadowserver Foundation a signalé l'exploitation active d'une vulnérabilité affectant Ivanti Sentry, une passerelle sécurisée permettant de contrôler et de protéger l'accès des terminaux mobiles aux ressources de l'entreprise. RéférencéeCVE-2026-10520 et corrigée le 9 juin 2026, cette vulnérabilité permettait à un attaquant distant non authentifié d'exécuter du code arbitraire avec les privilèges root (cf. CXA-2026-4222). À la suite de la publication d'un code d'exploitation le 10 juin, la fondation a observé 19 tentatives d'exploitation ciblant des instances situées notamment aux États-Unis, au Canada, au Mexique et en Allemagne (cf. CXA-2026-4320). Ces attaques visaient principalement à déployer des backdoors sur les systèmes compromis. Malgré les observations de la Shadowserver Foundation, Ivanti n'a, à ce stade, pas mis à jour son avis de sécurité pour confirmer l'exploitation active de cette vulnérabilité dans le cadre d'attaques réelles.

Exploitation comme 0-day de la vulnérabilité CVE-2026-35273 affectant Oracle PeopleSoft par ShinyHunters [20]

Le 11 juin 2026, les chercheurs de Google ont révélé l'exploitation en tant que vulnérabilité 0-day de la faille critique CVE-2026-35273 affectant Oracle PeopleSoft. Corrigée le 10juin 2026, cette vulnérabilité permettait à un attaquant distant non authentifié de prendre le contrôle d'un système (cf. CXA-2026-4352). Elle aurait été exploitée dans le cadre de la campagne revendiquée par ShinyHunters ayant visé près de 300 instances Oracle PeopleSoft réparties au sein de plus d'une centaine d'organisations, principalement dans le secteur de l'éducation, comme l'ont révélé BleepingComputer et le chercheur Michael Rl e 10 juin (cf. CXN-2026-4367). Google a également publié de nouveaux indicateurs de compromission(IoC), venant enrichir ceux précédemment communiqués par le chercheur MichaelR.

Exploitation comme 0-day de la CVE-2026-50751affectant les déploiements de VPN d'accès à distance et d'accès mobile CheckPoint [21]

Le 8 juin 2026, les équipes de Check Point Research ont signalé l'exploitation comme 0-day d'une vulnérabilité affectant les déploiements VPN d'accès à distance et d'accès mobile Check Point configurés pour utiliser le protocole d'échange de clés IKEv1 obsolète. Référencée CVE-2026-50751 et corrigée, cette vulnérabilité résultait d'un processus d'authentification incorrect (CWE-287). Un attaquant distant et non authentifié pouvait l'exploiter afin de contourner l'authentification de l'utilisateur et d'établir une connexion VPN d'accès à distance sans mot de passe utilisateur valide (cf. CXA-2026-4195). Pour endiguer les risques associés à la faille CVE-2026-50751, les clients utilisant le protocole d'échange de clés IKEv1 sont fortement encouragés à appliquer immédiatement les mises à jour de sécurité détaillées auprès du support Check Point.

Exploitation malveillante de la faille de sécurité CVE-2026-3300 au sein du plugin Everest Forms Pro [22]

Le 03 juin 2026, les chercheurs de Wordfence ont signalé l’exploitation malveillante d’une faille de sécurité critique affectant le plugin Everest Forms Pro, une extension deWordPress. Référencée CVE-2026-3300 (CVSS: 9.8) et désormais corrigée, cette vulnérabilité provenait d'une mauvaise neutralisation des entrées utilisateur dans la fonctionnalité de calcul complexe du plugin et permettait à un attaquant non authentifié d’exécuter du code PHP arbitraire sur le serveur, compromettant totalement le site. Pour endiguer les risques associés à l'exploitation de la CVE-2026-3300 Wordfence recommande la dernière version1.9.13 ainsi que de surveiller les logs et à vérifier la présence d’activités suspectes, ainsi que des indicateurs de compromission tels que les IP associées aux campagnes d’attaque et la création de comptes administrateurs non autorisés.

*ServiceNow signale un incident de sécurité ayant entraîné un accès non autorisé à des données clients[23]***

Le 9 juin 2026, les journalistes de Bleeping Computer ont publié un article concernant un incident de cybersécurité impliquant ServiceNow. Selon leurs informations, l’éditeur de logiciels américain aurait déployé discrètement un correctif le 5 juin, après avoir identifié une possible exploitation d’une vulnérabilité de type 0-day.Celle-ci aurait potentiellement permis à des attaquants non authentifiés d’accéder à certaines données stockées dans des instances clientes. Pour l'heure, ServiceNow n'a pas précisé quelles données ont été consultées par les attaquants. Les instances ServiceNow sont susceptibles de contenir des informations sensibles, telles que des tickets de support IT, des dossiers RH,de la documentation interne, des inventaires matériels et logiciels, des rapports d'incidents de sécurité, ou bien encore des workflows métier.

‍

France

‍

Compromission de la messagerie instantanée Tchap ayant entrainé une fuite de données [24]

Le 8 juin 2026, la Direction interministérielle du numérique (DINUM) a signalé un incident de sécurité affectant Tchap, le service de messagerie utilisé par plusieurs administrations et agents de l'État. La compromission a été revendiquée le 7 juin 2026 sur le forum cybercriminel PwnForums par l'acteur de la menace misere. Selon les informations publiées, les données compromises concerneraient plus de 70 000 agents, près de 60 000 documents classifiés « Diffusion Restreinte », ainsi que l'accès à des messages, dessalons de discussion et des liens de visioconférence. Afin d'appuyer ses déclarations, l'attaquant a également publié des extraits de conversations entre agents ainsi que trois échantillons de données supposément issus de la compromission. La DINUM précise que ce type de compromission ne permet pas d'accéder à l'historique des conversations privées chiffrées. En revanche, les espaces de discussion publics accessibles à l'ensemble des utilisateurs de Tchap, dont les messages ne sont pas chiffrés, peuvent être consultés.

Viginum analyse la campagne d'ingérence Rokh Solis, survenue durant les élections municipales de 2026 [25]

Le 11 juin 2026, le service français de vigilance et de protection contre les ingérences numériques étrangères (Viginum) a publié l'analyse technique d'une campagne d'influence ayant ciblé la France durant les élections municipales de mars 2026. Documenté sous le nom de Rokh Solis, le mode opératoire informationnel serait opéré par l'entreprise israélienne Blackcore et cherchait notamment à dénigrer le parti politique La France Insoumise. Cette tentative d'ingérence étrangère s'appuyait sur 4 sites web qui bénéficiaient de relais coordonnés sur plusieurs réseaux sociaux, dont TikTok, Instagram, X etFacebook. D'après les investigations menées par Viginum, la ligne éditoriale de cette campagne d'influence dénigrait en particulier les candidats et députés SébastienDELOGU, François PIQUEMAL et David GUIRAUD. Le rapport de Viginum qualifie plusieurs des récits d'influence à l'encontre des personnalités politiques deLFI comme "manifestement inexacts ou trompeurs".

‍

Compromission de la chaine d’approvisionnement

‍

Compromission de 73 dépôtsGitHub Microsoft pour distribuer le ver Miasma [26]

Les 5 et 6 juin, les chercheurs de StepSecurity et OpenSourceMalware ont révélé une nouvelle campagne du ver Miasma reposant sur une attaque supply chain visant les dépôtsGitHub Azure/durabletask via un compte contributeur compromis. L’attaquant y a implanté des fichiers de configuration malveillants déclenchant une payload de vol d’identifiants lorsqu’un développeur ouvre le dépôt avec Claude Code,Gemini CLI, Cursor ou VS Code. La campagne a affecté 73 dépôts répartis entre quatre organisations GitHub, dont Azure, Azure-Samples, Microsoft etMicrosoftDocs, et est désormais inopérante après la désactivation par GitHub de l’accès aux dépôts compromis. Le ver déployé, Miasma, est considéré comme une évolution du ver Mini Shai-Hulud, rendu public par TeamPCP à la mi-mai 2026.Depuis sa divulgation, il a continué d’évoluer en affinant ses techniques de propagation et de compromission, tout en infectant un nombre croissant de projets ces derniers jours notamment Red Hat.

‍

——————————————————————————————————-

‍