Escalade de privilèges administrateur sans authentification (CVSS 8.9) dans MyTube. Publiée et mise à jour le 27/03/2026. Plateforme potentiellement déployée dans des environnements européens.
BIND 9 versions 9.20.0-9.20.20 et 9.21.0-9.21.19 contiennent une fuite mémoire exploitable via requête DNS malveillante sur domaines spécialement conçus. Affecte les serveurs DNS critiques d'infrastructure.
Routeur Tenda AC5 affecté par quatre vulnérabilités de débordement de pile et dépassement de mémoire (CVSS 8.7-8.8) via requêtes POST malveillantes. Bien que produit grand public, risque pour les réseaux d'entreprise utilisant cette infrastructure.
Microsoft SharePoint Server (Subscription Edition, 2019, 2016) contient une vulnérabilité de désérialisation de données non fiables permettant l'exécution de code à distance sans authentification (CVSS 9.8). Ajoutée au catalogue KEV CISA le 18 mars 2026, elle est activement exploitée. CERT-EU recommande une mise à jour immédiate des serveurs internet-facing.
Vulnérabilité à exploitation distante sans authentification (CVSS 3.1 9.8) dans Oracle Identity Manager et Web Services Manager, menant à une exécution de code à distance. Bulletin Oracle relayé par CIRCL.lu le 23/03/2026. Application immédiate des patches recommandée.
Oracle Identity Manager et Oracle Web Services Manager contiennent une vulnérabilité d'exécution de code à distance exploitable sans authentification. Affecte les systèmes de gestion d'identité critiques en environnement d'entreprise.
Les écosystèmes Trivy ont été compromis via des credentials volés (19-22 mars 2026). Des versions malveillantes (v0.69.4, v0.69.5, v0.69.6) distribuées via GHCR, ECR, Docker Hub et packages deb/rpm contiennent des malwares volant secrets, clés SSH, credentials cloud/Kubernetes et tokens. Risque critique pour les pipelines CI/CD d'entreprise.
VMware Aria Operations contient une vulnérabilité d'injection de commande permettant l'exécution de code arbitraire sans authentification lors de migrations assistées. Ajoutée au catalogue KEV CISA le 3 mars 2026 avec date limite de remédiation au 24 mars 2026 (dépassée). Affecte les infrastructures de virtualisation critiques.