Résumé de la semaine #21 (du 16 au 22 mai 2026)

Détection d’une vulnérabilité critique au sein de Drupal et compromission de GitHub et de DurableTask par TeamPCP, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Splunk [1], par TYPO3 [2], par Atlassian pour Bamboo Data Center[3], pour Confluence [4], pour Fisheye [5], et pour Jira [6] [7], par n8n [8],par Google pour Chrome [9], par Cisco pour Secure Workload [10], par Drupal [11], par Mozilla pour Thunderbird [12], pour Firefox et Firefox ESR [13],ainsi que par Microsoft pour Windows Defender [14]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

‍

Code d’exploitation

Cette semaine, 4 codes d'exploitation ont été publiés. Un correctif est disponible pour 3 d'entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Drupal [15]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-9082et affectant Drupal a été publié. L'exploitation de cette faille permet de prendre le contrôle du système. Le script vérifie que la cible semble correspondre à une instance Drupal et que l’endpoint /jsonapi est accessible.Il tente ensuite d’identifier les types de ressources JSON:API exposés, notamment les ressources de type node, afin de trouver un point d’entrée exploitable. Une fois un type de ressource identifié, le code envoie des requêtes HTTP spécialement forgées contenant un filtre utilisant l’opérateur IN. L’injection repose sur une clé de tableau malveillante insérée dans les paramètres du filtre. Cette clé est ensuite traitée par Drupal lors de la construction de la requête SQL PostgreSQL, permettant à l’attaquant d’ajouter une condition SQL contrôlée. Après confirmation de l’injection SQL, le script peut réaliser une extraction de données en aveugle, caractère par caractère. Il permet notamment de récupérer des informations sur l’environnement PostgreSQL.Le code intègre également un mode d’extraction ciblant le compte administrateur Drupal. Ce mode interroge la table users_field_data afin de récupérer les informations associées à l’utilisateur uid=1, notamment le nom d’utilisateur, l’adresse électronique ainsi que le hash du mot de passe. Ainsi, un attaquant pourrait récupérer un compte administrateur, tenter de retrouver le mot dépasse en clair et ainsi prendre le contrôle du système. Le CERT-XMCO recommande l'installation de l'une des versions suivantes de Drupal : 11.3.10 ; 11.2.12 ;11.1.10 ; 10.6.9 ; 10.5.10 ; 10.4.10. Ces versions sont disponibles à l'adresse suivante : https://www.drupal.org/project/drupal/releases

Contournement de sécurité via une vulnérabilité au sein de Cisco SD-WAN [16]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-20182et affectant Cisco SD-WAN a été publié. L'exploitation de cette faille permet de contourner la sécurité du système. Il commence par établir une connexionDTLS vers le service de contrôle exposé en UDP/12346. Pour cela, le module génère en mémoire un certificat auto-signé, désactive la vérification du certificat pair, puis réalise un handshake DTLS avec l’équipement ciblé. Une fois la session DTLS établie, le module attend la réception d’un messageCHALLENGE envoyé par le contrôleur Cisco SD-WAN. Il répond ensuite avec un message CHALLENGE_ACK spécialement forgé, dans lequel il se déclare comme un équipement de type vHub. L’exploitation repose sur le fait que ce type d’équipement ne fait pas l’objet d’une vérification correcte dans le traitement du message CHALLENGE_ACK. Le serveur accepte alors le pair comme authentifié sans valider correctement son identité. Le module envoie ensuite un message Helo afin de finaliser l’échange avec le contrôleur et de confirmer que l’état authentifié a bien été obtenu. Si la cible répond également par un messageHello, le module considère que le contournement d’authentification a réussi. En mode exploitation complet, le module poursuit l’attaque en préparant une cléSSH contrôlée par l’attaquant. Cette clé peut être fournie par l’utilisateur ou générée automatiquement par le module. Il construit ensuite un message VMANAGE_TO_PEER contenant cette clé publique SSH, puis l’envoie à la cible afin de l’ajouter au fichier authorized_keys de l’utilisateur vmanage-admin. Ainsi, un attaquant distant capable d’atteindre le service DTLS exposé du contrôleur peut contourner l’authentification du plan de contrôle, se faire reconnaître comme un pair SD-WAN légitime, puis injecter une clé SSH lui permettant d’obtenir un accès persistant à l’équipement via le service NETCONF/SSH exposé sur le port 830. Le CERT-XMCO recommande l'installation de l'une des versions suivantes de Cisco Catalyst SD-WAN : 20.9.9.1 ; 20.12.5.4 ; 20.12.6.2 ;20.12.7.1 ; 20.15.4.4 ; 20.15.5.2 ; 20.18.2.2 ; 26.1.1.1. Ces versions sont disponibles auprès du support client de Cisco.

Élévation de privilèges via une vulnérabilité au sein de Microsoft Windows [17]

Un code d’exploitation tirant parti d’une vulnérabilité non référencée affectantMicrosoft Windows a été publié. La vulnérabilité en question, nomméeMiniPlasma, affecte le pilote noyau Windows Cloud Files Mini Filter Driver(cldflt.sys). Elle semble être liée à la vulnérabilité CVE-2020-17103, une élévation de privilèges locale dans ce même composant, supposément corrigée parMicrosoft en 2020. L’exploitation de cette faille permet à un attaquant local disposant d’un accès utilisateur standard d’obtenir des privilèges SYSTEM sur la machine ciblée. Aucun correctif de sécurité n'est disponible à l'heure actuelle.

Élévation de privilèges via une vulnérabilité au sein du noyau Linux [18]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-31635a été publié. La vulnérabilité affecte le sous-système RxRPC/RxGK du noyauLinux. L'exploitation de cette faille permet à un attaquant local disposant d’un accès utilisateur standard d’obtenir une élévation de privilèges jusqu’à root sur le système. Le CERT-XMCO recommande l'installation des correctifs suivants, selon la branche du noyau Linux utilisée, pour les versions vulnérables du noyau Linux à la CVE-2026-31635 : a2567217ade9 ; beee051f259a ;e2f1a80d8b1e

‍

Vulnérabilités

Exploitation de la CVE-2024-12802 affectant les appliances VPN SSL de SonicWall [19]

Le19 mai 2026, les chercheurs de ReliaQuest ont révélé l’exploitation, entre février et mars 2026, d’une vulnérabilité corrigée affectant les appliances VPNSSL de SonicWall. Référencée CVE-2024-12802 et corrigée en janvier 2025, cette faille était due à l’absence d’application de l’authentification multifacteur (MFA) pour les connexions au format UPN. Elle permettait à un attaquant distant disposant d’identifiants valides de s’authentifier directement et de contourner l’exigence de MFA (cf. CXA-2025-0080). La campagne, attribuée à un groupe de ransomware, a ciblé des environnements SonicWall pourtant corrigés, mais n’ayant pas appliqué l’ensemble des mesures de remédiation recommandées par l’éditeur dans une mise à jour de son bulletin de sécurité publiée en février2025.

Exploitation massive de la vulnérabilité corrigée CVE-2026-26980 affectant Ghost CMS [20]

Le 21 mai 2026, les chercheurs de XLab ont révélé l’exploitation à grande échelle d’une vulnérabilité affectant Ghost CMS. Référencée CVE-2026-26980 et corrigée en février 2026, elle permettait à un attaquant distant non authentifié d’accéder au contenu de la base de données, y compris aux clés API d’administration. Les attaquants ont ensuite exploité ces accès pour conduire des campagnes ClickFix destinées à déployer un malware capable de maintenir une persistance sur les systèmes compromis. Cette campagne, attribuée à au moins deux clusters criminels, aurait touché plus de 700 domaines issus de secteurs variés, notamment les universités, la blockchain, l’IA/SaaS, la sécurité, les médias etla fintech.

‍

Cybercriminel

Compromission de GitHub et de DurableTask par TeamPCP [21]

Les19 et 20 mai 2026, les chercheurs de Wiz, Aikido, StepSecurity, SafeDep et Endor Labs ont rapporté des incidents de sécurité affectant les paquets durabletask, le client Python officiel de Microsoft, téléchargé environ 417 000fois par mois. Selon Wiz, cette campagne serait directement liée à celle menée par TeamPCP, responsable de la compromission des paquets npm ATool via le verMini Shai-Hulud (cf. CXN-2026-3630). Dans le même temps, TeamPCP a revendiqué sur le forum Breached un accès au code source et à 4 000 dépôts privés GitHub.GitHub a confirmé que l’incident avait en réalité entraîné l’exfiltration de 3800 dépôts internes uniquement.

Campagne d'attaque DDoS réalisée par NoName057(16) ciblant la France [22]

Le18 mai 2026, le groupe hacktiviste prorusse NoName057(16) a revendiqué sur sa chaîne Telegram plusieurs attaques par déni de service, toujours en cours, visant des organisations françaises. Ces actions font suite aux déclarations de Volodymyr Zelensky du 16 mai, indiquant que la France était prête à coopérer avec l’Ukraine dans le domaine de la défense antimissile. Le groupe a également affirmé avoir obtenu un accès à distance à une usine française de biogaz et a menacé d’en interrompre le fonctionnement.

Compromissionde Grafana par le groupe de ransomware Coinbasecartel [23]

Le17 mai 2026, Grafana Labs a publié un communiqué indiquant avoir subi un incident de sécurité ayant conduit au téléchargement de son code source.L’attaque a été revendiquée par le groupe de ransomware Coinbasecartel sur son site vitrine. L’entreprise précise qu’aucune donnée client ni information personnelle n’a été compromise et qu’aucun impact sur les systèmes ou opérations de ses clients n’a été constaté. Une demande de rançon aurait été formulée pour empêcher la publication du code source, mais Grafana a déclaré qu’elle ne paierait pas. L’entreprise affirme également avoir identifié l’origine de la fuite d’identifiants et mis en place des mesures de sécurité supplémentaires.

‍

‍

——————————————————————————————————-

Références

[1]

• https://advisory.splunk.com//advisories/SVD-2026-0503
• https://advisory.splunk.com//advisories/SVD-2026-0504
• https://advisory.splunk.com//advisories/SVD-2026-0505

[2]

• https://typo3.org/security/advisory/typo3-ext-sa-2026-013

[3]

• https://confluence.atlassian.com/security/security-bulletin-may-19-2026-1786839142.html

[4]

• https://confluence.atlassian.com/security/security-bulletin-may-19-2026-1786839142.html

[5]

• https://confluence.atlassian.com/security/security-bulletin-may-19-2026-1786839142.html

[6]

• https://confluence.atlassian.com/security/security-bulletin-may-19-2026-1786839142.html

[7]

• https://confluence.atlassian.com/security/security-bulletin-may-19-2026-1786839142.html

[8]

• https://github.com/n8n-io/n8n/releases/tag/n8n%401.123.44

[9]

• https://chromereleases.googleblog.com/2026/05/chrome-for-android-update_0370477615.html
• https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop_0841193308.html

[10]

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csw-pnbsa-g8WEnuy

[11]

• https://www.drupal.org/sa-core-2026-004
• https://www.bleepingcomputer.com/news/security/drupal-critical-update-to-fix-bug-with-high-exploitation-risk/

[12]

• https://www.mozilla.org/en-US/security/advisories/mfsa2026-50/
• https://www.mozilla.org/en-US/security/advisories/mfsa2026-51/

[13]

• https://www.mozilla.org/en-US/security/advisories/mfsa2026-46/
• https://www.mozilla.org/en-US/security/advisories/mfsa2026-47/
• https://www.mozilla.org/en-US/security/advisories/mfsa2026-48/
• https://www.mozilla.org/en-US/security/advisories/mfsa2026-49/

[14]

• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2026-41091
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2026-45584
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2026-45498

[15]

• https://leportail.xmco.fr/watch/advisory/CXA-2026-3702

[16]

• https://github.com/rapid7/metasploit-framework/blob/074b0329899ac3a41b04996f0b12dbbeaa240ed3/modules/auxiliary/admin/networking/cisco_sdwan_vhub_auth_bypass.rb

[17]

• https://github.com/Nightmare-Eclipse/MiniPlasma
• https://www.bleepingcomputer.com/news/microsoft/new-windows-miniplasma-zero-day-exploit-gives-system-access-poc-released/

[18]

• https://github.com/v12-security/pocs/tree/main/dirtydecrypt

[19]

• https://reliaquest.com/blog/threat-spotlight-vpn-exploitation-when-patched-doesnt-mean-protected/
• https://www.bleepingcomputer.com/news/security/hackers-bypass-sonicwall-vpn-mfa-due-to-incomplete-patching/

[20]

• https://blog.xlab.qianxin.com/ghost-cms-mass-compromised-via-cve-2026-26980-now-fueling-clickfix-attacks/

[21]

• https://www.wiz.io/blog/durabletask-teampcp-supply-chain-attack
• https://www.aikido.dev/blog/durabletask-package-compromised-mini-shai-hulud
• https://safedep.io/malicious-durabletask-pypi-supply-chain-attack/
• https://www.stepsecurity.io/blog/microsofts-durabletask-pypi-package-compromised-in-supply-chain-attack#c2-infrastructure
• https://www.endorlabs.com/learn/trojanized-microsoft-sdk-durabletask-1-4-1-through-1-4-3-deliver-credential-stealing-malware
• https://thehackernews.com/2026/05/github-investigating-teampcp-claimed.html
• https://x.com/github/status/2056949168208552080
• https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/
• https://x.com/xploitrsturtle2/status/2056927898771067006

[22]

• https://www.lemonde.fr/international/live/2026/05/16/en-direct-guerre-en-ukraine-retrouvez-les-dernieres-informations_6687661_3210.html?#id-3035626

[23]

• https://www.linkedin.com/posts/we-recently-discovered-that-an-unauthorized-share-7461591117050855424-QQvO
• https://www.theregister.com/cyber-crime/2026/05/18/grafana-labs-admits-attackers-downloaded-its-codebase-from-github/5241686

‍

‍