Résumé de la semaine #18 (du 27 au 30 avril 2026)

Distribution du ver Mini Shai-Hulud via une attaque sur la chaine d'approvisionnement ciblant des paquets npm appartenant à SAP et exploitation par le groupe APT chinois UAT4356 des CVE-2025-20362et CVE-2025-20333 affectant des produits Cisco, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par F5 pour OS-A [1], par PrestaShop [2], par Linux pour son noyau [3], par MongoDB [4], par Microsoft pour Edge [5], par Mozilla pour Firefox et Firefox ESR [6], par Google pour Chrome [7] [8] et par cPanel et WHM [9].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d'exploitation

Un code d'exploitation a été publié cette semaine. Un correctif est disponible.

Contournement de sécurité via une vulnérabilité au sein de cPanel & WHM [10]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-41940 affectant cPanel & WHM a été publié. L'exploitation de cette faille permet à un attaquant distant et non authentifié de contourner des restrictions de sécurité. Le script met en œuvre les quatre phases de l’attaque à travers des fonctions distinctes. Il commence par établir une session pré-authentifiée et en extrait le cookie brut, puis envoie un payload CRLF préalablement encodé en base64, contenant des clés de session malveillantes, via un en-tête Authorization: Basic. Il récupère ensuite le jeton de sécurité exposé dans une redirection 307, force la réécriture du cache JSON en passant par un endpoint interne de WHM, puis valide l’accès root en interrogeant /json-api/version. Une fonction permettant d’approfondir la compromission est bien présente dans le code, mais elle est volontairement désactivée dans la version diffusée. Le CERT-XMCO recommande l'installation de l'une des versions suivantes de cPanel et WHM : 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 et 11.136.0.5.

Informations

Vulnérabilité

Exploitation de la CVE-2026-42208 affectant LiteLLM 36 heures après la divulgation de la vulnérabilité [11]

Le 26 avril 2026, les chercheurs de Sysdig Threat Research Team ont publié une analyse de la vulnérabilité CVE-2026-42208, correspondant à une injection SQL pré-authentifiée affectant le proxy LiteLLM et exploitée environ 36 heures après la publication. Cette faille, désormais corrigée, permettait à un attaquant distant et non authentifié d’envoyer un en-tête Authorization spécifiquement conçu pour détourner la requête de vérification de clef et interroger directement la base du proxy, afin d’y lire ou modifier des données sensibles (clefs API, identifiants de fournisseurs LLM, configuration), ouvrant la voie à un accès non autorisé aux services qu’il protège.Les tentatives d’exploitation observées visaient des instances LiteLLM exposées sur Internet exécutant des versions vulnérables (1.81.16 <= 1.83.6), mettant potentiellement en danger les comptes OpenAI, Anthropic, AWS Bedrock et autres fournisseurs.

Distribution de la backdoor Firestarter par le groupe APT chinois UAT4356 via les CVE-2025-20333 et CVE-2025-20362 affectant des produits Cisco [12]

Le 23 avril 2026, la CISA, le NCSC et les chercheurs de Cisco ont signalé une nouvelle exploitation, par le groupe APT chinois UAT4356 (aka Storm-1849), de deux vulnérabilités corrigées affectant des produits Cisco. Référencées CVE-2025-20362 et CVE-2025-20333, elles permettaient à un attaquant de contourner les mécanismes d'authentification et d'exécuter du code arbitraire. Leur exploitation a entraîné le déploiement de la backdoor Firestarter, assurant une persistance sur les équipements Cisco Firepower et Secure Firewall sous ASA ou FTD.

Exploitation active de la CVE-2026-3844 affectant Breeze cache [13]

Le 22 avril 2026, les chercheurs de Wordfence ont publié un correctif pour la vulnérabilité CVE-2026-3844 affectant Breeze Cache, une extension WordPress utilisée sur plus de 400 000 sites web. Cette faille permettait à un attaquant non authentifié de téléverser des fichiers arbitraires sur le serveur du site concerné, ouvrant ainsi la voie à une exécution de code à distance. Wordfence a également signalé avoir bloqué 3 936 tentatives d’exploitation au cours des dernières 24 heures, soulignant l’importance d’appliquer rapidement le correctif fourni par l’éditeur.

Cybercriminel

Distribution du ver Mini Shai-Hulud via une attaque supply chain ciblant des paquets npm de SAP [14]

Le 29 avril 2026, les chercheurs d’Aikido Security, Onapsis, OX Security, SafeDep, Socket, StepSecurity et Wiz ont révélé une nouvelle campagne d’attaque visant la chaîne d’approvisionnement logicielle via un ver nommé Mini Shai-Hulud. Il s’agit d’une variante du ver Shai-Hulud déjà observé dans l’écosystème npm et aurait été attribué au groupe TeamPCP. Les attaquants auraient compromis plusieurs versions de paquets npm appartenant à SAP afin de voler des identifiants, notamment depuis différents navigateurs (Chrome, Safari, Edge, Brave, Chromium), et d’exfiltrer des mots de passe.

——————————————————————————————————-