Résumé de la semaine #06 (du 2 au 6 février 2026)

Campagne d’attaques contre Notepad++ et exploitation de la faille CVE-2026-21509 affectant Microsoft Office par APT28, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

APPLICATIONS DE CORRECTIFS

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Don Ho pour NotePad++ [1], par Microsoft pour Edge [2], par Zyxel [3], par Cisco pour divers logiciels [4] et pour Secure Web Appliance [5], par Google pour Chrome [6] et enfin par Kubernetes [7].

Code d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système et contournement de sécurité via 2 vulnérabilités au sein de SolarWinds Web Help Desk [8]

Un code d’exploitation tirant parti des CVE-2025-40536 et CVE-2025-40551 affectant SolarWinds Web Help Desk a été publié. L’exploitation de ces failles permettait de contourner des restrictions de sécurité et de prendre le contrôle du système. L’attaquant était en mesure d’exploiter ces failles en envoyant une payload JSON malveillante vers /wo/{jsonrpc_endpoint} avec un jndiPath pointant vers un serveur Interactsh contrôlé. La bibliothèque jabsorb désérialise automatiquement cet objet et le stocke en mémoire, puis le template déclenche la récupération de cet objet, ce qui force le serveur WHD vulnérable à effectuer une requête DNS/LDAP vers le serveur Interactsh, prouvant ainsi l’exécution de code et l’exploitabilité complète de la vulnérabilité sans aucune authentification requise. Le CERT-XMCO recommande l’installation du correctif de sécurité 2026.1 de SolarWinds.

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein de Docker Desktop [9]

Un code d’exploitation tirant parti de la CVE-2025-9074 affectant Docker Desktop a été publié. L’exploitation de cette faille permettait à un attaquant local et non privilégié d’interagir avec l’API Docker et ainsi contourner des mesures de sécurité pour accéder au système de fichier de la machine hôte. Ce code d’exploitation se présente sous la forme d’un programme écrit Python et permettait à un attaquant d’envoyer des requêtes HTTP vers l’API Dockerexposée afin de vérifier sa disponibilité. Une fois l’API détectée, l’attaquant force le démon Docker à télécharger une image avec l’équivalent de la commande docker pull alpine. Il prépare ensuite une requête de création de conteneur similaire à docker create. Le conteneur est ensuite lancé via l’équivalent de docker start. À partir de là, l’attaquant peut se connecter au conteneur avec docker exec et accéder aux fichiers de l’hôte montés dans /mnt ce qui potentiellement revient à une prise de contrôle du système hôte via le démon Docker. Le CERT-XMCO recommande l’installation de la version 4.44.3 de Docker Desktop.

Élévation de privilèges et divulgation d’informations via une vulnérabilité au sein de WhatsUp Gold [10]

Un code d’exploitation tirant parti de la CVE-2024-6671 affectant WhatsUp Gold a été publié. L’exploitation de cette faille permettait à un attaquant non authentifié d’accéder aux mots de passe chiffrés d’un utilisateur, lorsque l’application était configurée pour un unique utilisateur. Ce code d’exploitation se présente sous la forme d’un programme écrit en Nuclei. En l’exploitant, un attaquant peut envoyer une requête vers JMXSecurity afin d’initialiser une session valide et préparer le contexte applicatif. Il exploite ensuite à deux reprises DeviceStatisticalMonitors pour abuser d’un défaut de filtrage côté serveur : la première fois pour extraire une valeur sensible stockée dans l’application, puis la seconde pour modifier directement le mot de passe du compte admin en base de données. Enfin, la requête LoginAjax est utilisée pour se connecter avec succès au compte administrateur nouvellement compromis, afin d’accéder pleinement à l’application avec des privilèges élevés. Le CERT-XMCO recommande l’installation de la version 2024.0.0 de WhatsUp Gold.

INFORMATIONS

Vulnérabilités

Analyse de la CVE‑2026‑25049 permettant une prise de contrôle à distance, exploitée publiquement grâce à un PoC, et affectant n8n [11]

Le 4 février 2026, les chercheurs de plusieurs sociétés, dont Pillar Security, Endor Labs et SecureLayer7, ont publié une analyse de multiples vulnérabilités critiques affectant n8n permettant à tout utilisateur authentifié pouvant créer ou éditer un workflow d’obtenir une exécution de code à distance complète sur le serveur. Ces failles, désormais corrigées et référencées collectivement en tant que CVE‑2026‑25049, découlaient de problèmes de sanitisation des expressions JavaScript côté serveur, et permettaient de contourner le correctif précédemment appliqué pour la CVE‑2025‑68613.

Le groupe étatique russe APT28 exploite la faille de sécurité CVE-2026-21509 affectant Microsoft Office et Microsoft 365 Apps [12]

Le 1er février 2026, le CERT-UA a publié un bulletin de sécurité à la suite de l’exploitation d’une vulnérabilité 0-day affectant Microsoft Office et Microsoft 365 Apps par le groupe étatique russe APT28. Référencée CVE-2026-21509 et désormais corrigée, cette faille provenait du recours à des données non fiables au sein d’une décision de sécurité (CWE-807). En incitant l’utilisateur à ouvrir un fichier office spécifiquement conçu, un attaquant local et non authentifié pouvait contourner les mesures d’atténuation OLE. Le CERT-XMCO recommande l’installation de la version 16.0.5539.1001 de Microsoft Office 2016 et de la version 16.0.10417.20095 pour Microsoft Office 2019 disponible via le mécanisme de mise à jour automatique ou via le lien suivant : Microsoft Office 2016 16.0.5539.1001.

Exploitation malveillante de la faille de sécurité CVE-2025-11953 (aka Metro4Shell) affectant React Native Metro [13]

Le 3 février 2026, VulnCheck a publié un bulletin de sécurité sur l’exploitation récente d’une faille de sécurité affectant le paquet NPM @react-native-community/cli, utilisé par de très nombreux développeurs pour créer et gérer des applications React Native. Référencée CVE-2025-11953 (aka Metro4Shell), cette vulnérabilité critique était due à une neutralisation incorrecte des éléments spéciaux utilisés dans une commande du système d’exploitation affectant un endpoint exposé (CWE-78). Sous Windows, un attaquant non authentifié pouvait exploiter cette faille pour exécuter des commandes système arbitraires via une requête POST. Sous Linux et macOS, cette vulnérabilité permettait d’exécuter des fichiers exécutables arbitraires avec un contrôle limité des paramètres. Pour corriger cette faille, le CERT-XMCO recommande l’installation de la version 20.0.0 de @react-native-community/cli-server-api.

La CISA ajoute la CVE-2025-40551 affectant SolarWinds Web Help Desk à son catalogue des vulnérabilités exploitées [14]

Le 3 février 2026, les chercheurs de la Cybersecurity and Infrastructure Security Agency (CISA) ont publié un communiqué annonçant l’ajout de quatre vulnérabilités à son catalogue des Known Exploited Vulnerabilities (KEV), dont une faille critique d’exécution de code à distance affectant SolarWinds Web Help Desk (CVE-2025-40551). La vulnérabilité était due à la désérialisation de données non fiables (CWE-502), permettant à un attaquant distant et non authentifié de prendre le contrôle du système.

Exploitation malveillante de la faille CVE-2025-55182 et détournement du trafic web via des configurations NGINX malveillantes [15]

Le 4 février 2026, les chercheurs de Datalog ont publié une alerte de sécurité faisant suite à la détection d’une campagne d’attaques sophistiquées s’appuyant sur le détournement du trafic web via le ciblage de configurations NGINX et des panneaux de gestion comme Baota. Ce cluster d’activités malveillantes serait opéré par des acteurs de la menace qui se sont déjà illustrés par l’exploitation malveillante de la faille CVE-2025-55182 (aka React2Shell) affectant React.

Espionnage

Compromission de Notepad++ par un groupe étatique chinois non spécifié [16]

Le 2 février 2026, l’éditeur Notepad++ a publié une alerte de sécurité après avoir été la cible d’un groupe étatique non spécifié. La cyberattaque aurait été conduite par les attaquants via la compromission d’un serveur d’hébergement partagé de Notepad++, plutôt que par l’intermédiaire de vulnérabilités affectant le code de Notepad++ lui-même. Cette dernière aurait permis aux acteurs malveillants de rediriger le trafic de certains utilisateurs ciblés vers des manifestes de mise à jour malveillants, contrôlés par l’attaquant.

Analyse de la backdoor Chrysalis, déployée dans le cadre de la compromission de NotePad++ contre des entités en Asie du Sud-Est et en Amérique centrale [17]

Le 2 février 2026, les chercheurs de Rapid7 publiaient une analyse de la backdoor Chrysalis à la suite de l’alerte de sécurité lancée par NotePad++concernant la compromission d’un serveur d’hébergement partagé utilisé par l’éditeur. Rapid7 dévoile qu’une campagne d’espionnage attribuée au groupe chinois Lotus Blossom, et utilisant l’infrastructure compromise de NotePad++, aurait ciblé des entités gouvernementales, de télécommunication, du secteur aérien, des infrastructures critiques ainsi que des médias en Asie du Sud‑Est et en Amérique centrale. Cette campagne aurait permis aux acteurs malveillants de rediriger le trafic de certains utilisateurs ciblés vers des manifestes de mise à jour malveillants, contrôlés par l’attaquant.

Analyse de Shadow Campaigns, vaste opération d’espionnage ciblant les entités gouvernementales de 37 pays de par le monde [18]

Le 5 février 2026, les chercheurs de Unit 42 (Palo Alto) ont publié une analyse des Shadow Campaigns, une vaste opération d’espionnage menée par le cluster TGR-STA-1030 (UNC6619), actif depuis au moins 2024 et soupçonné d’être soutenu par un État asiatique. Cette campagne a compromis au moins 70 organisations gouvernementales et d’infrastructures critiques dans 37 pays, principalement des entités gouvernementales ainsi que des forces de police et des opérateurs télécoms. Les assaillants combinent campagnes de phishing ciblant des administrations européennes et exploitation de vulnérabilités connues sur Microsoft Exchange, SAP, Atlassian et autres technologies critiques pour obtenir un accès initial à des réseaux hautement sensibles.

France

Présentation de la Stratégie nationale de cybersécurité 2026–2030 [19]

Le 29 janvier 2026, le Secrétariat général de la défense et de la sécurité nationale (SGDSN), sous l’autorité du Premier ministre et du Président de la République, a publié la Stratégie nationale de cybersécurité 2026–2030. Cette stratégie érige la cybersécurité en « exigence vitale » et en « impératif stratégique », face à une menace qui s’intensifie et affecte l’ensemble du tissu économique, social et institutionnel français. Elle vise à protéger citoyens, institutions, infrastructures critiques et entreprises, en combinant prévention, accompagnement des victimes et renforcement structurel des capacités nationales. Au cœur du texte, cinq piliers structurent l’action : faire de la France le plus grand vivier de talents cyber d’Europe, renforcer la résilience cyber de la Nation, entraver l’expansion de la cybermenace, garder la maîtrise de la sécurité des fondements numériques et soutenir la sécurité et la stabilité du cyberespace en Europe et à l’international.

---

Références portail XMCO

[1] 

• https://notepad-plus-plus.org/news/v891-released/
• https://notepad-plus-plus.org/news/hijacked-incident-info-update/

[2]

•  https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

[3]

• https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-vulnerability-in-the-ddns-configuration-cli-command-of-zld-firewalls-02-05-2026

[4]

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmm-file-up-kY47n8kK

[5] 

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-archive-bypass-Scx2e8zF](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-archive-bypass-Scx2e8zF

[6] 

• https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop.html
• https://chromereleases.googleblog.com/2026/02/chrome-for-android-update.html

[7]

• https://github.com/kubernetes/kubernetes/issues/136677

• https://github.com/kubernetes/kubernetes/issues/136678
• https://github.com/kubernetes/kubernetes/issues/136679
• https://github.com/kubernetes/kubernetes/issues/136680

[8]

• https://horizon3.ai/attack-research/cve-2025-40551-another-solarwinds-web-help-desk-deserialization-issue/

[9] 

• https://www.exploit-db.com/exploits/52472
• https://github.com/OilSeller2001/PoC-for-CVE-2025-9074

[10] 

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-6671.yaml

[11] 

• https://github.com/n8n-io/n8n/security/advisories/GHSA-6cqr-8cfr-67f8

• https://www.pillar.security/blog/n8n-sandbox-escape-critical-vulnerabilities-in-n8n-exposes-hundreds-of-thousands-of-enterprise-ai-systems-to-complete-takeover
• https://blog.securelayer7.net/cve-2026-25049/
• https://www.endorlabs.com/learn/cve-2026-25049-n8n-rce
• https://www.bleepingcomputer.com/news/security/critical-n8n-flaws-disclosed-along-with-public-exploits/

[12] 

• https://cert.gov.ua/article/6287250
• https://www.bleepingcomputer.com/news/security/russian-hackers-exploit-recently-patched-microsoft-office-bug-in-attacks/

[13] 

• https://www.vulncheck.com/blog/metro4shell_eitw

• https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability/
• https://thehackernews.com/2026/02/hackers-exploit-metro4shell-rce-flaw-in.html
• https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-react-native-metro-bug-to-breach-dev-systems/

[14] 

• https://www.cisa.gov/news-events/alerts/2026/02/03/cisa-adds-four-known-exploited-vulnerabilities-catalog

• https://www.bleepingcomputer.com/news/security/cisa-flags-critical-solarwinds-rce-flaw-as-actively-exploited/
• https://thehackernews.com/2026/02/cisa-adds-actively-exploited-solarwinds.html

[15] 

• https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/
• https://thehackernews.com/2026/02/hackers-exploit-react2shell-to-hijack.html

[16] 

• https://notepad-plus-plus.org/news/hijacked-incident-info-update/

• https://notepad-plus-plus.org/news/clarification-security-incident/
• https://thehackernews.com/2026/02/notepad-official-update-mechanism.html
• https://notepad-plus-plus.org/assets/data/IoCFromFormerHostingProvider.txt
• https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
• https://securelist.com/notepad-supply-chain-attack/118708/

[17] 

• https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

• https://securelist.com/notepad-supply-chain-attack/118708/
• https://notepad-plus-plus.org/assets/data/IoCFromFormerHostingProvider.txt
• https://notepad-plus-plus.org/news/clarification-security-incident/

[18] 

• https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/
• https://www.theregister.com/2026/02/05/asia_government_spies_hacked_37_critical_networks/

[19] https://www.sgdsn.gouv.fr/files/files/Publications/20260129_SNC_0.pdf