Résumé de la semaine #15 (du 6 au 10 avril 2026)

Exploitation d'une potentielle vulnérabilité 0-day affectant Adobe Reader et compromission du système de mise à jour du plugin Smart Slider 3 Pro, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apache pour Airflow [1], par Google pour Chrome [2], par Fortinet pour FortiClient [3], par Gitlab [4], par Mozilla pour Firefox [5], Firefox ESR [6] et Thunderbird [7], par OpenSSL [8], par SonicWall pour SMA1000 [9] et par Android [10]. 

Codes d'exploitation

Cette semaine, 3 codes d'exploitation ont été publiés. Un correctif est disponible pour chacun d'entre eux.

Prise de contrôle du système via une vulnérabilité au sein d'Apache ActiveMQ [11]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2022-41678, affectant Apache ActiveMQ a été publié. Ce code d'exploitation se présente sous la forme d'un template nuclei. En exploitant ce programme, un attaquant distant et authentifié peut accéder au point de terminaison exposé Jolokia(/api/jolokia) dans une instance ActiveMQ, où le serveur Jetty intégré achemine les requêtes vers org.jolokia.http.AgentServlet. En envoyant une requête POST spécialement conçue, l'attaquant peut amener le serveur à construire une JmxRequest à partir de données JSON et à la traiter via des gestionnaires internes. Le CERT-XMCO recommande l'installation de l'une des versions suivantes d'Apache ActiveMQ : 5.16.6, 5.17.4, 5.18.0 et 6.0.0.

Prise de contrôle du système via une vulnérabilité au sein de Google Chrome [12]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-5281, affectant Google Chrome a été publié. L'exploitation de cette faille permet à un attaquant distant d'exécuter du code arbitraire via une page HTML malveillante. Ce code d’exploitation se présente sous la forme d’une page HTML et JavaScriptexploitant l’interface WebGPU du navigateur. Il initialise un périphérique GPU, puis enchaîne de nombreuses allocations de buffers, la création de modules de calcul WGSL et la soumission de commandes compute. Immédiatement après ces soumissions, le script détruit une partie des buffers utilisés, puis réalloue rapidement de nouvelles zones mémoire de tailles proches afin de favoriser la réutilisation d’espaces tout juste libérés alors que des traitements GPU peuvent encore y faire référence. Cette séquence cherche à provoquer un use-after-free dans le composant Dawn, conduisant à une corruption mémoire. Le CERT-XMCO recommande l'installation de la version 146.0.7680.178 de Google Chrome disponible via le mécanisme de mise à jour automatique.

Manipulation de données et divulgation d'informations via une vulnérabilité au sein de Liferay [13]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2025-4576, affectant Liferay a été publié. L'exploitation de cette faille permet à un attaquant distant et non authentifié de réaliser une attaque de type cross-site scripting (XSS), entraînant une manipulation de données ainsi qu’une divulgation d’informations. Ce code d'exploitation se présente sous la forme d'un programme Nuclei écrit en Yaml. En incitant sa victime à accéder à l’URL générée, un attaquant est alors en mesure d’envoyer une requête GET vers {{BaseURL}}/o/blogs-web/blogs/entry_cover_image_caption.jsp en injectant une charge XSS via le paramètre coverImageURL. Le CERT-XMCO recommande l'installation des versions suivantes : Liferay Portal (corrigée sur la branche principale), Liferay DXP 2025.Q2.0, Liferay DXP 2025.Q1.5 et Liferay DXP 2024.Q1.16.

Informations

Vulnérabilités exploitées

Exploitation de la vulnérabilité corrigée référencée CVE-2025-55182 affectant Next.js [14]

Le 2 avril 2026, des chercheurs de Cisco Talos ont révélé une campagne automatisée de collecte d'identifiants à grande échelle menée par un nouvel acteur de la menace nommé UAT-10608. Cette campagne exploite des applications Web Next.js vulnérables à la faille CVE-2025-55182, aussi appelée React2Shell. Corrigée en décembre 2025, elle permettait à un attaquant d’exécuter du code à distance affectant les composants serveur React (RSC). Selon Cisco, au moins 766 hôtes ont déjà été compromis à travers plusieurs régions et fournisseurs de services cloud.

Exploitation d'une potentielle vulnérabilité 0-day affectant Adobe Reader [15]

Le 7 avril, le chercheur Haifei d’EXPMON a révélé la potentielle exploitation d’une vulnérabilité 0-day affectant la dernière version d’Adobe Reader (26.00121367). À ce jour, cette faille ne serait ni référencée ni corrigée. Elle permettrait à un attaquant distant de collecter et d’exfiltrer diverses informations, et pourrait également conduire à l’exécution de code à distance ainsi qu’à un contournement de la sandbox. Détectée le 26 mars, la campagne serait active depuis au moins le 28 novembre 2025, selon le chercheur greglesnewich.

Exploitation active de la CVE-2026-0740 affectant le plugin Ninja Forms - File Upload de WordPress [16]

Le 6 avril 2026, Wordfence a révélé que près de 50 000 sites WordPress étaient vulnérables à une faille de sécurité affectant le plugin Ninja Forms – File Upload, un outil de création de formulaires ayant plus de 600 000 téléchargements sur WordPress. Référencée CVE-2026-0740 et corrigée le 19 mars 2026, cette vulnérabilité est activement exploitée et permet à un attaquant distant et non authentifié de télécharger des fichiers arbitraires, permettant ainsi l'exécution de code à distance.

Exploitation active de la vulnérabilité CVE-2025-59528 affectant Flowise [17]

Le 6 avril 2026, la chercheuse Caitlin Condon a mis en évidence l’exploitation active d’une vulnérabilité critique affectant Flowise, une plateforme open source low-code dédiée à la création d’agents d’IA et de workflows basés sur des LLM. Référencée CVE-2025-59528 et corrigée le 15 septembre 2025, cette faille permettait à un attaquant distant non authentifié d’accéder à des données sensibles et d’exécuter du code arbitraire, pouvant entraîner une compromission complète du système. Une preuve de concept (PoC) est disponible publiquement.

Publication d'un code d'exploitation pour une vulnérabilité baptisée BlueHammer affectant Windows [18]

Le 2 avril 2026, un chercheur nommé Chaotic Eclipse a publié un code d’exploitation visant une faille de sécurité non corrigée de Windows, à la suite d’un désaccord avec Microsoft. Bien que cette vulnérabilité ne soit pas encore officiellement référencée, elle a été baptisée BlueHammer et permettrait à un attaquant local d’obtenir des privilèges SYSTEM ou administrateur. Le chercheur a toutefois précisé que la preuve de concept (PoC) comporte des bogues susceptibles d’en compromettre la fiabilité. Des analyses menées par d’autres chercheurs ont confirmé ces limitations, notamment le fait que le code ne fonctionne pas sur Windows Server.

Géopolitique

Analyse des campagnes d'APT28 ayant ciblé les secteurs gouvernementaux et de la défense européens [19]

Le 2 avril 2026, les chercheurs de Trend Micro ont publié une analyse des campagnes de Pawn Storm (APT28, Forest Blizzard), menées principalement entre avril 2022 et novembre 2023. Ils décrivent des attaques massives et répétitives combinant tentatives de force brute et relais Net‑NTLMv2 (voler une authentification en cours et la réutiliser telle quelle, sans jamais connaître le mot de passe en clair) contre des organismes gouvernementaux, de la défense, des forces armées et d’autres cibles sensibles. Malgré un apparent manque de sophistication en surface, ces opérations auraient permis la compromission de milliers de boîtes mail, ensuite réutilisées pour des campagnes de spearphishing.

Supply Chain

Compromission du système de mise à jour du plugin Smart Slider 3 Pro pour WordPress et Joomla [20]

Le 9 avril 2026, Patchstack a signalé la compromission du système de mise à jour du plugin Smart Slider 3 Pro pour WordPress et Joomla par un groupe d'acteurs malveillants. Cette opération leur aurait permis de distribuer une version backdoorée du plugin le 7 avril dernier, résultant sur un vol d'informations sensibles. Seule la version Pro 3.5.1.35 du plugin serait concernée par cet incident. Le CERT-XMCO recommande d'endiguer les risques liés à cette compromission en installant la version 3.5.1.36 ou 3.5.1.34 du plugin.

France

Publication de la feuille de route de la sécurité numérique de l’État 2026-2027 [21]

Le 9 avril 2026, le SGDSN a publié la feuille de route de la sécurité numérique de l’État 2026-2027, visant à renforcer la cybersécurité publique. Elle structure la gouvernance, sécurise les systèmes d’information et leurs fournisseurs, et améliore leur maintien en condition de sécurité. Elle met également l’accent sur la protection des services exposés, le renforcement des contrôles d’accès et de l’administration, ainsi que sur l’amélioration des capacités de détection et de réponse aux incidents. Enfin, elle vise à renforcer la résilience globale des systèmes et à anticiper les évolutions futures, notamment la transition vers la cryptographie post-quantique.