Alertes et avis

Bulletin de sécurité cPanel (AV26-508)

2026-05-25T14:33:10Z

Numéro de série : AV26-508
Date : 25 mai 2026

Le 22 mai 2026, cPanel a publié un bulletin de sécurité visant à corriger une vulnérabilité liée aux produits suivants :

ea-nginx – version v1.31.0;
ea-nginx-passenger – version v6.1.2.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci-dessous et d’appliquer les mises à jour nécessaires.

Bulletin de sécurité Red Hat (AV26-507)

2026-05-25T14:27:06Z

Numéro de série : AV26-507
Date : 25 mai 2026

Du 18 au 24 mai 2026, Red Hat a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits. Ces bulletins comprennent des mises à jour pour corriger des vulnérabilités liées au noyau Linux dans les produits suivants :

Red Hat CodeReady Linux Builder – multiples versions et plateformes;
Red Hat Enterprise Linux – multiples versions et plateformes;
Red Hat Enterprise Linux Server – multiples versions et plateformes;
Red Hat Enterprise Linux for Real Time – multiples versions et plateformes.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter la page Web ci‑dessous et d'appliquer les mises à jour nécessaires.

Red Hat Security Advisories (en anglais seulement)

[Systèmes de contrôle] Bulletins de sécurité CISA SCI (AV26–506)

2026-05-25T14:17:27Z

Numéro de série : AV26–506
Date : 25 mai 2026

Du 18 au 24 mai 2026, CISA a publié des bulletins de sécurité SCI visant à corriger des vulnérabilités liées aux produits suivants :

ABB B&R Automation Runtime – versions antérieures à 6.4;
ABB B&R Automation Studio – versions antérieures à 6.5;
ABB B&R PCs – multiples versions et modèles;
ABB CoreSense HM – version 2.3.1 et versions antérieures;
ABB CoreSense M10 – version 1.4.1.12 et versions antérieures;
ABB Terra AC Wallbox (JP) – versions 1.8.33 et versions antérieures;
Abb B&R Automation Studio – versions antérieures à 6.5;
Hitachi Energy GMS600 – de la version 1.3.0 à 1.3.1;
Kieback & Peter DDC Building Controllers – multiples versions et modèles;
ScadaBR – version 1.2.0;
Siemens RUGGEDCOM APE1808 – toutes les versions;
ZKTeco CCTV Cameras – micrologicielle versions antérieures à V5.0.1.2.20260421.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter la page Web ci-dessous, de suivre les mesures d’atténuation recommandées et si disponible, appliquer les mises à jour nécessaires.

CISA ICS Advisories (en anglais seulement)

Bulletin de sécurité Ubuntu (AV26-505)

2026-05-25T14:11:44Z

Numéro de série : AV26-505
Date : mai 25 2026

Du 18 au 24 mai 2026, Ubuntu a publié des avis de sécurité visant à corriger des vulnérabilités de noyau Linux liée aux produits suivants :

Ubuntu 14.04 LTS;
Ubuntu 16.04 LTS;
Ubuntu 18.04 LTS;
Ubuntu 20.04 LTS;
Ubuntu 22.04 LTS;
Ubuntu 24.04 LTS;
Ubuntu 25.10.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter la page Web ci-dessous et d’appliquer les mises à jour nécessaires.

Ubuntu Security Notices (en anglais seulement)

Bulletin de sécurité Dell (AV26-504)

2026-05-25T14:07:14Z

Numéro de série : AV26-504
Date : 25 mai 2026

Du 18 au 24 mai 2026, Dell a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits :

Dell Networking OS10 – versions antérieures à 10.5.6.13;
SmartFabric Storage Software – versions antérieures à 1.4.5;
Dell Container Storage Modules – de la version 1.6.0 à 1.16.3;
Dell Container Storage Modules – de la version 1.11.0 à 1.16.3.

Bulletin de sécurité Roundcube (AV26-503)

2026-05-25T13:59:03Z

Numéro de série : AV26-503
Date : 25 mai 2026

Le 24 mai 2026, Roundcube a publié des bulletins de sécurité visant à corriger des vulnérabilités liées au produit suivant :

Roundcube Webmail – versions antérieures à 1.6.16;
Roundcube Webmail – versions antérieures à 1.7.1.

Bulletin de sécurité IBM (AV26-502)

2026-05-25T13:57:20Z

Numéro de série : AV26-502
Date : 25 mai 2026

Du 18 au 24 mai 2026, IBM a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits. Ces mises à jour de sécurité comprenaient des correctifs critiques pour les produits suivants :

API Connect – de la version V10.0.8.0 à 10.0.8.8;
Analyst Workflow – de la version 2.0.0 à 3.0.0;
Data Cataloging – de la version 2.1.8 à 2.5.1;
DevOps Test Performance – de la version 11.0 à 11.0.6;
IBM App Connect Enterprise Certified Containers Operands – multiples versions;
IBM App Connect Enterprise – de la version 12.0.1.0 à 12.0.12.25;
IBM App Connect Enterprise – de la version 13.0.1.0 à 13.0.7.1;
IBM App Connect Operator – multiples versions;
IBM App Connect for Manufacturing – de la version 13.0.0.0 à 13.0.1.0;
IBM Aspera High-Speed Transfer Endpoint – de la version 3.7.4 à 4.4.7 Fix Pack 1;
IBM Aspera High-Speed Transfer Server – de la version 3.7.4 à 4.4.7 Fix Pack 1;
IBM Cognos Analytics Mobile – de la version 1.1.0 à 1.1.25;
IBM Data Studio client – version 4.2.2;
IBM Db2 on Cloud Pak for Data and Db2 Warehouse on Cloud Pak for Data – multiples versions;
IBM DevOps Code ClearCase – version 11.0;
IBM Fusion HCI – de la version 2.10.0 à 2.12.1;
IBM Fusion – de la version 2.9.0 à 2.12.1;
IBM Guardium Data Protection – versions 12.0, 12.1 et 12.2;
IBM Library Support for Spring – de la version 3.2 à 3.2.25;
IBM Library Support for Spring – de la version 3.4 à 3.4.16;
IBM MQ Agent – version v1.0.0;
IBM Rational ClearCase – version 10.0.0;
IBM Rational ClearCase – version 9.1;
IBM SPSS Analytic Server – multiples versions;
IBM Security Verify Access OIDC Provider – de la version 22.09 à 26.03;
IBM Sterling Transformation Extender – versions 11.0.1.1 et 11.0.2.0;
IBM Storage Defender - Data Protect – de la version 2.0.0 à 2.1.3;
IBM Storage Defender - Resiliency Service – de la version 2.0.0 à 2.1.3;
IBM Watson Speech Services Cartridge – de la version 4.0.0 à 5.3.1;
IBM voice-gateway/media-relay – version 1.0.8.31;
IBM voice-gateway/sip-orchestrator – version 1.0.8.25;
IBM voice-gateway/sms-gateway – version 1.0.8.19;
IBM voice-gateway/stt-adapter – version 1.0.8.20;
IBM voice-gateway/tts-adapter – version 1.0.8.20;
IBM watsonx Code Assistant On Prem – multiples versions;
IBM watsonx Orchestrate Cartridge for IBM Cloud Pak for Data – de la version 4.8.4 à 4.8.5;
IBM watsonx Orchestrate Cartridge for IBM Cloud Pak for Data – de la version 5.0.0 à 5.3.1;
IBM watsonx Orchestrate Developer Edition – de la version 1.4.0 à 2.9.0;
Langflow OSS – de la version 1.0.0 à 1.9.1;
Rational Business Developer (RBD) – de la version 9.6 à 9.6.1.1;
Rational Business Developer (RBD) – de la version 9.7 to 9.7.1;
Rational Performance Tester – multiples versions;
SPSS Collaboration and Deployment Services – multiples versions;
z/Transaction Processing Facility – version 1.1.

IBM Product Security Incident Response (en anglais seulement)

Bulletin de sécurité Drupal (AV26-492) - Mise à jour 2

2026-05-22T19:41:04Z

Numéro de série : AV26-492
Date : 20 mai 2026
Mise à jour : 22 mai 2026

Le 20 mai 2026, Drupal a publié des bulletins de sécurité visant à corriger une vulnérabilité liée critique liée au produit suivant :

Drupal core – multiples versions.

Mise à jour 1

Drupal a indiqué que des tentatives d'exploitation de la vulnérabilité CVE-2026-9082 sont désormais détectées dans la nature.

Mise à jour 2

La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la vulnérabilité CVE-2026-9082 à son catalogue de vulnérabilités exploitées connues (KEV) le 22 mai 2026.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci‑dessous et d'appliquer les mises à jour nécessaires ou de suivre les mesures d'atténuation recommandées.

Bulletin de sécurité F5 (AV26-501)

2026-05-22T16:02:50Z

Numéro de série : AV26-501
Date : 22 mai 2026

Le 20 mai 2026, F5 a publié un bulletin de sécurité visant à corriger un vulnérabilité critique liée aux produits suivants :

NGINX Plus – multiples versions;
NGINX Open Source – multiples versions;
NGINX Instance Manager – de la version 2.17.0 à22.0;
F5 WAF pour NGINX – de la version 5.9.0 à13.0;
NGINX App Protect WAF – multiples versions;
F5 DoS pour NGINX – version 4.9.0;
NGINX App Protect DoS – de la version 4.3.0 à7.0;
NGINX Gateway Fabric – multiples versions;
NGINX Ingress Controller – multiples versions.

Bulletin de sécurité HPE (AV26-500)

2026-05-22T15:56:16Z

Numéro de série : AV26-500
Date : 22 mai 2026

Le 22 mai 2026, HPE a publié un bulletin de sécurité visant à corriger des vulnérabilités liées au produit suivant :

HPE Telco Universal SLA Management – version 4.6 et versions antérieures.

Bulletin de sécurité cPanel (AV26-499)

2026-05-22T15:45:15Z

Numéro de série : AV26-499
Date : 22 mai 2026

Le 21 mai 2026, cPanel a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

cPanel & WebHost Manager (WHM) software – version 11.126.0.63 et versions ultérieures, version 11.134.0.30 et versions ultérieures, version 11.136.0.14 et versions ultérieures, WP Squared 11.138.1.1 et versions ultérieures;
EasyApache4 – versions antérieures à v25.62.

Bulletin de sécurité Ubiquiti (AV26-498)

2026-05-22T15:38:39Z

Numéro de série : AV26-498
Date : 22 mai 2026

Le 21 mai 2026, Ubiquiti a publié un bulletin de sécurité visant à corriger des vulnérabilités liées aux produits suivants. Ces mises à jour de sécurité comprenaient des correctifs critiques pour les produits suivants :

Express – version 4.0.13 et versions antérieures;
UCG-Industrial – version 5.0.13 et versions antérieures;
UDM, UDM-Pro, UDM-SE, UDM-Pro-Max, EFG, UDW, UDR, UDR7, Express 7, UNVR, UNVR-Pro, UNVR-Instant, ENVR, UCG-Ultra, UCG-Max et UCG-Fiber – version 5.0.16 et versions antérieures;
UDM-Beast, UNAS-2, UNAS-4, UNAS-Pro, UNAS-Pro-4 et UNAS-Pro-8 – version 5.1.8 et versions antérieures;
UDR-5G, ENVR-Core, UCKP, UCK et UCK-Enterprise – version 5.0.17 et versions antérieures;
UNVR-G2 et UNVR-G2-Pro – version 5.1.11 et versions antérieures;
UniFi OS Server – version 5.0.6 et versions antérieures.

Bulletin de sécurité Microsoft Edge (AV26-497)

2026-05-22T15:31:49Z

Numéro de série : AV26-497
Date : 22 mai 2026

Le 21 mai 2026, Microsoft a publié un bulletin de sécurité visant à corriger des vulnérabilités liées au produit suivant :

Microsoft Edge Stable Channel – versions antérieures à0.3967.83.

Microsoft Edge Stable Channel Release Notes (en anglais seulement)

Bulletin de sécurité Trend Micro (AV26-494) – Mise à jour 1

2026-05-21T19:41:40Z

Numéro de série : AV26-494
Date : 21 mai 2026

Le 21 mai 2026, Trend Micro a publié un bulletin de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

Apex One (on-premise) – server/agent builds antérieures à 2019 (on-prem) build 17079;
Apex One as a service – SaaS;
Trend Vision One Endpoint - SEP – agent builds antérieures à 14.0.20731.

Mise à jour 1

La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la vulnérabilité CVE-2026-34926 à son catalogue de vulnérabilités exploitées connues (KEV) le 21 mai 2026.

Le Centre pour la cybersécurité recommande aux utilisateurs et aux administrateurs de consulter les pages Web ci-dessous et d’appliquer les mises à jour nécessaires.

Bulletin de sécurité ConnectWise (AV26-496)

2026-05-21T17:43:14Z

Numéro de série : AV26-496
Date : 21 mai 2026

Le 21 mai 2026, ConnectWise a publié un bulletin de sécurité visant à corriger une vulnérabilité liée au produit suivant :

ConnectWise Automate – versions antérieures à 2026.5.

Bulletin de sécurité FreeBSD (AV26-495)

2026-05-21T13:57:30Z

Numéro de série : AV26-495
Date : 21 mai 2026

Le 20 mai 2026, FreeBSD a publié des bulletins de sécurité visant à corriger des vulnérabilités liées au produit suivant :

FreeBSD – toutes les versions prises en charge.

FreeBSD Security Advisories (en anglais seulement)

Bulletin de sécurité Splunk (AV26-493)

2026-05-20T19:24:44Z

Numéro de série : AV26-493
Date : 20 mai 2026

Le 20 mai 2026, Splunk a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants. Ces mises à jour de sécurité comprenaient des correctifs critiques pour les produits suivants :

Splunk User Behavior Analytics – versions antérieures à4.5;
Splunk AppDynamics Machine Agent – versions antérieures à4.0;
Splunk AppDynamics Java Agent – versions antérieures à4.0;
Splunk AppDynamics Private Synthetic Agent – versions antérieures à4.0;
Splunk AppDynamics Python Agent – versions antérieures à4.1;
Splunk AppDynamics Cluster Agent – versions antérieures à4.0;
Splunk AppDynamics Database Agent – versions antérieures à4.0;
Splunk AppDynamics Analytics Agent – versions antérieures à4.0;
Splunk AppDynamics Apache Web Server Agent – versions antérieures à11.1;
Splunk Universal Forwarder – de la version 9.4.0 à4.10;
Splunk Enterprise – multiples versions et plateformes;
Splunk Cloud Platform – multiples versions et plateformes;
Splunk AI Toolkit – versions antérieures à7.3.

Splunk Security Advisories (en anglais seulement)

Bulletin de sécurité Cisco (AV26-491)

2026-05-20T19:06:58Z

Numéro de série : AV26-491
Date : 20 mai 2026

Le 20 mai 2026, Cisco a publié des bulletins de sécurité visant à corriger des vulnérabilités dans plusieurs de ses produits. Ces mises à jour de sécurité comprenaient un correctif critique pour le produit suivant :

Cisco Secure Workload – version 3.9 et versions antérieures;
Cisco Secure Workload – versions antérieures à 3.10.8.3;
Cisco Secure Workload – versions antérieures à 4.0.3.17.

Bulletin de sécurité ISC BIND (AV26-490)

2026-05-20T17:23:55Z

Numéro de série : AV26-490
Date : 20 mai 2026

Le 20 mai 2026, ISC a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

ISC BIND 9 – de la version 9.0.0 à 9.16.50;
ISC BIND 9 – de la version 9.18.0 à 9.18.48;
ISC BIND 9 – de la version 9.20.0 à 9.20.22;
ISC BIND 9 – de la version 9.21.0 à 9.21.21;
BIND Supported Preview Edition – de la version 9.3-S1 à 9.16.50-S1;
BIND Supported Preview Edition – de la version 9.18.11-S1 à 9.18.48-S1;
BIND Supported Preview Edition – de la version 9.20.9-S1 à 9.20.22-S1.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les page Web ci‑dessous et d'appliquer les mises à jour nécessaires.

Bulletin de sécurité Microsoft (AV26-489)

2026-05-20T17:16:55Z

Numéro de série : AV26-489
Date : 20 mai 2026

Le 18 et 19 mai, 2026, Microsoft a publié des bulletins de sécurité concernant des vulnérabilités, dont certaines critiques, dans les produits suivants :

Microsoft Azure Local;
Microsoft Azure Resource Manager;
Microsoft Azure Portal Windows Admin Center;
Microsoft Bitlocker;
Microsoft Malware Protection Engine – versions antérieures à 1.26040.8;
Microsoft Defender – versions antérieures à 4.18.26040.7.

La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la vulnérabilité CVE-2026-41091 et CVE-2026-45498 à son catalogue de vulnérabilités exploitées connues (KEV) le 20 mai 2026.

Bulletin de sécurité cPanel (AV26-488)

2026-05-20T15:35:26Z

Numéro de série : AV26-488
Date : 20 mai 2026

Le 19 mai 2026, cPanel a publié des bulletins de sécurité visant à corriger des vulnérabilités liées au produit suivant :

cPanel & WebHost Manager (WHM) software – version 11.86.0.45, 11.94.0.32, 11.102.0.43, 11.110.0.120 (cl6110), 11.110.0.121, 11.118.0.68, 11.124.0.41, 11.126.0.62, 11.130.0.26, 11.132.0.35, 11.134.0.29, 11.136.0.13 et WP Squared 11.136.1.16 et versions antérieures.

Bulletin de sécurité HPE (AV26-487)

2026-05-20T15:29:34Z

Numéro de série : AV26-487
Date : 20 mai 2026

Le 19 mai 2026, HPE a publié un bulletin de sécurité visant à corriger une vulnérabilité liée au produit suivant :

HPE Aruba Networking Management Software (Airwave) – version 8.3.0.6 et versions antérieures;
HPE Aruba Networking AOS-CX – multiples versions;
HPE Aruba Networking EdgeConnect Orchestrator – toutes les versions;
HPE Aruba Networking Analytics and Location Engine (ALE) – toutes les versions;
HPE Aruba Networking Meridian Asset Tracking – toutes les versions.

Bulletin de sécurité Google Chrome (AV26-486)

2026-05-20T15:24:31Z

Numéro de série : AV26-486
Date : 20 mai 2026

Le 19 mai 2026, Google a publié un bulletin de sécurité visant à corriger des vulnérabilités liées au produit suivant :

Stable Channel Chrome for Desktop – versions antérieures à 148.0.7778.178/179 (Windows/Mac) et 148.0.7778.178 (Linux).

Google Chrome Security Advisory (en anglais seulement)

Bulletin de sécurité F5 (AV26-485)

2026-05-20T15:20:28Z

Numéro de série : AV26-485
Date : 20 mai 2026

Le 19 mai 2026, F5 a publié un bulletin de sécurité visant à corriger un vulnérabilité critique liée au produit suivant :

NGINX JavaScript (njs) – de la version 0.9.4 à 0.9.8.

Bulletin de sécurité FreePBX (AV26-484)

2026-05-20T15:11:24Z

Numéro de série : AV26-484
Date : 20 mai 2026

Le 19 mai 2026, FreePBX a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

FreePBX Security-Reporting cdr (FreePBX 16) – versions 16.0.50 et versions antérieures;
FreePBX Security-Reporting cdr (FreePBX 17) – versions 17.0.11 et versions antérieures;
FreePBX Security-Reporting dashboard (FreePBX 16) – versions 16.0.22 et versions antérieures;
FreePBX Security-Reporting dashboard (FreePBX 17) – versions 17.0.5 et versions antérieures.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci-dessous, appliquer les mises à jour nécessaires et de suivre les mesures d’atténuation recommandées.

Bulletin de sécurité Atlassian (AV26-483)

2026-05-19T20:32:32Z

Numéro de série : AV26-483
Date : 19 mai 2026

Le 19 mai 2026, Atlassian a publié un avis de sécurité concernant des vulnérabilités, dont certaines critiques, dans les produits suivants :

Bamboo Data Center and Server - multiples versions;
Bitbucket Data Center and Server - multiples versions;
Confluence Data Center and Server - multiples versions;
Fisheye/Crucible - versions 4.9.0 à9.9;
Jira Data Center and Server - multiples versions;
Jira Service Management Data Center and Server - multiples versions.

Bulletin de sécurité Ubuntu (AV26-482)

2026-05-19T20:18:12Z

Numéro de série : AV26-482
Date : mai 19 2026

Du 11 au 17 mai 2026, Ubuntu a publié des avis de sécurité visant à corriger des vulnérabilités de noyau Linux liée aux produits suivants :

Ubuntu 16.04 LTS;
Ubuntu 18.04 LTS;
Ubuntu 20.04 LTS;
Ubuntu 22.04 LTS;
Ubuntu 24.04 LTS.

Bulletin de sécurité Red Hat (AV26-481)

2026-05-19T20:07:24Z

Numéro de série : AV26-481
Date : 19 mai 2026

Du 11 au 17 mai 2026, Red Hat a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits. Ces bulletins comprennent des mises à jour pour corriger des vulnérabilités liées au noyau Linux dans les produits suivants :

Red Hat CodeReady Linux Builder - multiples versions et plateformes;
Red Hat Enterprise Linux - multiples versions et plateformes;
Red Hat Enterprise Linux Server - multiples versions et plateformes;
Red Hat Enterprise Linux for Real Time - multiples versions et plateformes.

Red Hat Security Advisories (en anglais seulement)

Bulletin de sécurité Dell (AV26-480)

2026-05-19T19:48:43Z

Numéro de série : AV26-480
Date : 19 mai 2026

Du 11 au 17 mai 2026, Dell a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits :

Dell Enterprise Sonic Distribution - versions antérieures à 4.5.3;
Elastic Cloud Storage (ECS) - versions antérieures à 27.1.10.1;
Intel 800 Series Ethernet Adapters - versions antérieures à 30.5.0.13;
Dell PowerEdge with AMD Graphics - multiples models et versions;
PowerScale InsightIQ - de la version 5.0.0 à 6.2.0.

Avis, notifications et ressources de sécurité Dell (en anglais seulement)

Bulletin de sécurité IBM (AV26-479)

2026-05-19T19:35:52Z

Numéro de série : AV26-479
Date : 19 mai 2026

Du 11 au 17 mai 2026, IBM a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits. Ces mises à jour de sécurité comprenaient des correctifs critiques pour les produits suivants :

IBM Robotic Process Automation for Cloud Pak - de la version 23.0.0 à 23.0.20.5;
IBM Robotic Process Automation for Cloud Pak - de la version 30.0.0 à 30.0.1;
IBM Operator for Apache Flink - de la version 0.0 à 1.5.1;
IBM App Connect Enterprise - de la version 13.0.1.0 à 13.0.7.1;
IBM App Connect Enterprise - de la version 12.0.1.0 à 12.0.12.25;
ICP Discovery - de la version 5.0.0 à 5.3.1;
IBM Operational Decision Manager - multiples versions;
IBM Cloudera Data Platform Private Could Base - versions 7.1.9, 7.3.1 et 7.3.2;
IBM Data Virtualization on Cloud Pak for Data - multiples versions;
IBM Fusion - de la version 2.9.0 à 2.12.1;
IBM Fusion HCI - de la version 2.10.0 à 2.12.1;
Content-Aware Storage - de la version 1.1.2 à 1.1.3;
IBM Engineering AI Hub - versions 0.0 et 1.1.0;
IBM Integration Bus for z/OS - de la version 10.1.0.0 à 10.1.0.7;
IBM MQ Operator - multiples versions et models;
IBM supplied MQ Advanced container images - multiples versions et models;;
IBM Open SDK for Rust on AIX - versions 90.0.0, 1.90.0.1, 1.92.0.0 et 1.92.0.1
IBM Watson Knowledge Catalog on prem - versions 0.0, 5.0.1, 5.0.2, 5.0.3, 5.1.0, 5.1.1, 5.1.2 et 5.1.3;
IBM Watson Query on Cloud Pak for Data - version 2.2;
IBM Big SQL on Cloud Pak for data - multiples versions
Platform Navigator in IBM Cloud Pak for Integration (CP4I) - multiples versions;
Automation Assets in IBM Cloud Pak for Integration (CP4I) - multiples versions.

IBM Product Security Incident Response (en anglais seulement)

Bulletin de sécurité Mozilla (AV26-478)

2026-05-19T19:16:36Z

Numéro de série : AV26-478
Date : 19 mai 2026

Le 19 mai 2026, Mozilla a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

Firefox – versions antérieures à 150.0.3;
Firefox ESR – versions antérieures à 115.36;
Firefox ESR – versions antérieures à 140.11.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci‑dessous et d’appliquer les mises à jour nécessaires.

Bulletin de sécurité HPE (AV26-477)

2026-05-19T16:16:50Z

Numéro de série : AV26-477 Date : 19 mai 2026

Bulletin de sécurité HPE (AV26-477) Le 18 mai 2026, HPE a publié un bulletin de sécurité visant à corriger un vulnérabilité critique liée au produit suivant :

HPE Unified OSS Console (UOC) – version 3.1.20 et versions antérieures.

Bulletin de sécurité Microsoft Edge (AV26-476)

2026-05-19T15:46:03Z

Numéro de série : AV26-476
Date : 19 mai 2026

Le 15 mai 2026, Microsoft a publié un bulletin de sécurité visant à corriger des vulnérabilités liées au produit suivant :

Microsoft Edge Stable Channel - versions antérieures à 148.0.3967.70.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter la page Web ci-dessous et d'appliquer la mise à jour nécessaire.

Microsoft Edge Stable Channel Release Notes (en anglais seulement)

[Systèmes de contrôle] Bulletins de sécurité CISA SCI (AV26–475)

2026-05-19T14:56:06Z

Numéro de série : AV26-475
Date : 19 mai 2026

Du 11 au 17 mai 2026, CISA a publié des bulletins de sécurité SCI visant à corriger des vulnérabilités liées aux produits suivants :

ABB AC500 V3 - version micrologicielle PM5xxx 3.9.0 et 3.9.0_HF1;
ABB AC500 V3 - versions antérieures à 3.9.0;
ABB Automation Builder Gateway - versions antérieures à 2.9.0;
ABB WebPro SNMP Card PowerValue - versions antérieures à 1.1.8.k et 1.1.8.p;
Fuji Electric Tellus - version 5.0.2;
Siemens Industrial Devices - multiples versions et modèles;
Siemens Opcenter RDnL - toutes les versions;
Siemens Ruggedcom Rox MX/RX models - versions antérieures à 2.17.1;
Siemens SENTRON 7KT PAC1261 Data Manager - versions antérieures à 2.1.0;
Siemens SIMATIC CN 4100 - versions antérieures à 5.0;
Siemens SIMATIC S7 PLC Web Server - multiples versions et modèles;
Siemens SIMATIC - multiples versions et modèles;
Siemens SIPROTEC 5 - multiples versions et modèles;
Siemens Siemens ROS# - versions antérieures à 2.2.2
Siemens Simcenter Femap - versions antérieures à 2512.0003;
Siemens Solid Edge - versions antérieures à 226.0.5;
Siemens Teamcenter - multiples versions et modèles;
Siemens gWAP - versions antérieures à 3.1.1;
Subnet Solutions PowerSYSTEM Center - multiples versions et modèles;
Universal Robots Polyscope 5 - versions antérieures à 5.25.1.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter la page Web ci-dessous, de suivre les mesures d'atténuation recommandées et si disponible, appliquer les mises à jour nécessaires.

CISA ICS Advisories (en anglais seulement)

Bulletin de sécurité FreePBX (AV26–474)

2026-05-15T19:16:16Z

Numéro de série : AV26–474
Date : 15 mai 2026

Le 15 mai 2026, FreePBX a publié un bulletin de sécurité visant à corriger une vulnérabilité critique liées aux produits suivants :

FreePBX Security-Reporting userman (FreePBX 16) – versions 0.45 et versions antérieures;
FreePBX Security-Reporting userman (FreePBX 17) – versions 0.7 et versions antérieures.

Bulletin de sécurité Microsoft (AV26-473) – Mise à jour 1

2026-05-15T17:44:37Z

Numéro de série : AV26-473
Date : 15 mai 2026

Le 14 mai 2026, Microsoft a publié un bulletin de sécurité visant à corriger une vulnérabilité critique liée aux produits suivants :

Microsoft Exchange Server 2016 versions sur site (n’importe quel niveau de mise à jour);
Microsoft Exchange Server 2019 versions sur site (n’importe quel niveau de mise à jour);
Exchange Server Subscription Edition (SE) versions sur site (n’importe quel niveau de mise à jour).

Microsoft a connaissance d'exploitation limitée de la vulnérabilité CVE-2026-42897.

Mise à jour 1

La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la vulnérabilité CVE-2026-42897 à son catalogue de vulnérabilités exploitées connues (KEV) le 15 mai 2026.

AL26-012 - Vulnérabilité critique touchant Cisco Catalyst SD-WAN - CVE-2026-20182

2026-05-15T14:04:36Z

Numéro : AL26-012
Date : 15 mai 2026

Auditoire

La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte vise à sensibiliser les destinataires à une cybermenace récemment relevée pouvant toucher les biens d'information électroniques et à fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) peut offrir une assistance supplémentaire aux destinataires qui en font la demande.

Détails

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) est au courant de cas d’exploitation active^{Note de bas de page 1}^{Note de bas de page 2} d’une vulnérabilité touchant les dispositifs de réseau étendu à définition logicielle (SD-WAN) de Cisco Catalyst ^{Note de bas de page 3}. En réponse au bulletin de sécurité de Cisco communiqué le 14 mai 2026^{Note de bas de page 4}, le Centre pour la cybersécurité a publié le bulletin de sécurité AV26‑471^{Note de bas de page 5} le 14 mai 2026.

Publiée sous le numéro CVE-2026-20182^{Note de bas de page 6}, cette vulnérabilité critique d’authentification incorrecte (CWE-287)^{Note de bas de page 7} touche le processus d’authentification par appairage du produit Cisco Catalyst SD-WAN Controller (anciennement SD-WAN vSmart) et du produit Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage). L’exploitation de cette vulnérabilité pourrait permettre à un attaquant à distance et non authentifié de contourner les mécanismes d’authentification, d’élever les privilèges et d’obtenir des privilèges d’administration sur les systèmes touchés.

Les systèmes Cisco Catalyst SD-WAN Controller accessibles à partir d’Internet, particulièrement ceux dont les ports réseau sont exposés, font face à des risques de compromission.

Cette vulnérabilité touche les produits Cisco Catalyst SD-WAN Controller et Cisco Catalyst SD-WAN Manager, quelle que soit la configuration des dispositifs. Elle touche tous les types de déploiement, y compris les suivants :

déploiement local;
Cisco SD-WAN Cloud-Pro;
Cisco SD-WAN Cloud - géré par Cisco;
Cisco SD-WAN for Government - environnement FedRAMP.

Le Centre pour la cybersécurité est au courant d’incidents liés à CVE-2026-20182. Des tentatives d’ajout de clés SSH, de modification de configurations liées au protocole NETCONF et d’élévation des privilèges racines ont entre autres été signalées, lesquelles ont permis aux attaquants de mener toute une gamme d’activités par la suite, comme l’obtention d’un accès administratif ou d’un accès persistant à long terme aux réseaux SD-WAN.

Cisco a également noté l’exploitation continue des vulnérabilités CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 touchant Cisco Catalyst SD-WAN qui avaient été signalées en février 2026^{Note de bas de page 8}. Le Centre pour la cybersécurité avait alors publié l’alerte AL26-004^{Note de bas de page 9}.

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organisations de mettre à niveau les instances Cisco Catalyst SD-WAN touchées à une version corrigée :

Produits touché	Version touchée	Solution
Cisco Catalyst SD-WAN	Versions antérieures à 20.9^{Footnote *}	Migrer vers une version corrigée
Cisco Catalyst SD-WAN	20.9	20.9.9.1
Cisco Catalyst SD-WAN	20.10	20.12.7.1
Cisco Catalyst SD-WAN	20.11^{Footnote *}	20.12.7.1
Cisco Catalyst SD-WAN	20.12	20.12.5.4 20.12.6.2 20.12.7.1
Cisco Catalyst SD-WAN	20.13^{Footnote *}	20.15.5.2
Cisco Catalyst SD-WAN	20.14^{Footnote *}	20.15.5.2
Cisco Catalyst SD-WAN	20.15	20.15.4.4 20.15.5.2
Cisco Catalyst SD-WAN	20.16^{Footnote *}	20.18.2.2
Cisco Catalyst SD-WAN	20.18^{Footnote *}	20.18.2.2
Cisco Catalyst SD-WAN	26.1	26.1.1.1

Cisco a également corrigé cette vulnérabilité dans la version 20.15.506 de Cisco SD-WAN Cloud (géré par Cisco), qui est en nuage. Aucune mesure n’est requise de la part des utilisatrices et utilisateurs. Les clientes et clients peuvent déterminer la version logicielle ou l’état de la correction des défauts en utilisant la fonction d’aide dans l’interface utilisateur graphique (IUG) du service^{Note de bas de page 4}.

Le Centre pour la cybersécurité recommande également aux organisations de prendre les mesures suivantes :

passer en revue le bulletin de Cisco^{Note de bas de page 4} et l’article de Talos Intelligence^{Note de bas de page 1} pour déterminer la présence d’indicateurs de compromission sur leurs dispositifs;
exécuter la commande request admin-tech à partir de chacun des composants de contrôle dans le déploiement SD-WAN avant la mise à niveau^{Note de bas de page 4}^{Note de bas de page 10}, dans le but de préserver les indicateurs de compromission possibles, tel que Cisco l’a indiqué;
recueillir des artéfacts, y compris des journaux et instantanés virtuels des technologies SD-WAN;
mettre à jour entièrement les technologies SD-WAN, y compris les instances touchées par la vulnérabilité CVE-2026-20182;
mettre en œuvre les recommandations du guide de renforcement de la sécurité de Cisco SD-WAN^{Note de bas de page 11}.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de passer en revue et de mettre en œuvre ses 10 mesures de sécurité des TI, en mettant l’accent sur ce qui suit^{Note de bas de page 12} :

intégrer, surveiller et défendre les passerelles Internet;
appliquer des correctifs aux applications et aux systèmes d’exploitation;
renforcer les systèmes d’exploitation et les applications;
isoler les applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

References

Bulletin de sécurité Tenable (AV26-472)

2026-05-14T20:04:04Z

Numéro de série :AV26-472
Date : 14 mai 2026

Le 14 mai 2026, Tenable a publié un bulletin de sécurité visant à corriger des vulnérabilités critiques liées au produit suivant :

Tenable Network Monitor – versions antérieures à 5.4.

Bulletin de sécurité Cisco (AV26-471)

2026-05-14T18:34:20Z

Numéro de série : AV26-471
Date : 14 mai 2026

Le 14 mai 2026, Cisco a publié des bulletins de sécurité visant à corriger des vulnérabilités critiques liées aux produits suivants :

Cisco Catalyst SD-WAN Release – version 20.9 et versions antérieures;
Cisco Catalyst SD-WAN Release – version 20.10 et versions antérieures;
Cisco Catalyst SD-WAN Release – version 20.11 et versions antérieures;
Cisco Catalyst SD-WAN Release – version 20.12 et versions antérieures;
Cisco Catalyst SD-WAN Release – version 20.13 et versions antérieures;
Cisco Catalyst SD-WAN Release – version 20.14 et versions antérieures;
Cisco Catalyst SD-WAN Release – version 20.15 et versions antérieures;
Cisco Catalyst SD-WAN Release – version 20.16 et versions antérieures;
Cisco Catalyst SD-WAN Release – version 20.18 et versions antérieures;
Cisco Catalyst SD-WAN Release – version 26.1 et versions antérieures.

Cisco a connaissance d'exploitation limitée de la vulnérabilité CVE-2026-20182.

La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la vulnérabilité CVE-2026-20182 à son catalogue de vulnérabilités exploitées connues (KEV) le 14 mai 2026.

Bulletin de sécurité PostgreSQL (AV26-470)

2026-05-14T16:01:06Z

Numéro de série : AV26-470
Date : 14 mai 2026

Le 14 mai 2026, PostgreSQL a publié un bulletin de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

PostgreSQL – versions 14.x antérieures à 14.23;
PostgreSQL – versions 15.x antérieures à 15.18;
PostgreSQL – versions 16.x antérieures à 16.14;
PostgreSQL – versions 17.x antérieures à 17.10;
PostgreSQL – versions 18.x antérieures à 18.4.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci-dessous et d'appliquer les mises à jour nécessaires.

Bulletin de sécurité Broadcom VMware (AV26-469)

2026-05-14T15:49:14Z

Numéro de série : AV26-469
Date : 14 mai 2026

Le 14 mai 2026, Broadcom a publié un bulletin de sécurité visant à corriger une vulnérabilité liée au produit suivant :

VMware Fusion – versions antérieures à 26H1.

Bulletin de sécurité MongoDB (AV25-468)

2026-05-14T15:44:01Z

Numéro de série : AV26-468
Date : 14 mai 2026

Le 12 mai 2026, MongoDB a publié un bulletin de sécurité visant à corriger une vulnérabilité liée au produit suivant :

MongoDB – de la version 8.3.0 à 8.3.1;
MongoDB – de la version 8.2.0 à 8.2.8;
MongoDB – de la version 8.0.0 à 8.0.22;
MongoDB – de la version 7.0.0 à 7.0.33;
MongoDB – de la version 6.0.0 à 6.0.27;
MongoDB – de la version 5.0.0 à 5.0.32.

Le Centre pour la cybersécurité recommande aux utilisateurs et aux administrateurs de consulter la page Web ci-dessous et d'appliquer les mises à jour nécessaires.

MongoDB - (CVE-2026-8053) Undefined behavior when inserting data with duplicate field names into timeseries collections (en anglais seulement)

Bulletin de sécurité GitLab (AV26-467)

2026-05-14T13:22:41Z

Numéro de série : AV26-467
Date : 14 mai 2026

Le 13 mai 2026, GitLab a publié un bulletin de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

GitLab Community Edition (CE) – versions antérieures à 18.11.3, 18.10.6 et 18.9.7;
GitLab Enterprise Edition (EE) – versions antérieures à 18.11.3, 18.10.6 et 18.9.7.

Bulletin de sécurité Apple (AV26-466)

2026-05-13T19:31:34Z

Numéro de série : AV26-446
Date : 13 mai 2026

Bulletin de sécurité Apple (AV26-446)

Le 13 mai 2026, Apple a publié un bulletin de sécurité visant à corriger des vulnérabilités liées au produit suivant :

Safari – versions antérieures à 26.5.

Bulletin de sécurité HPE (AV26-465)

2026-05-13T19:27:05Z

Numéro de série : AV26-465
Date : 13 mai 2026

Le 12 mai 2026, HPE a publié un bulletin de sécurité visant à corriger des vulnérabilités liées au produit suivant :

HPE Telco Intelligent Assurance – version 4.2.14.

Bulletin de sécurité cPanel (AV26-464)

2026-05-13T18:39:55Z

Numéro de série : AV26-464
Date : 13 mai 2026

Le 13 mai 2026, cPanel a publié des bulletins de sécurité visant à corriger des vulnérabilités liées au produit suivant :

cPanel & WebHost Manager (WHM) software – versions antérieures à86.0.44, 11.94.0.31, 11.102.0.42, 11.110.0.118, 11.118.0.67, 11.124.0.38, 11.126.0.59, 11.130.0.23, 11.132.0.32, 11.134.0.26, 11.136.0.10 et WP Squared 11.136.1.12.

cPanel Security (en anglais seulement)

Bulletin de sécurité Drupal (AV26-463)

2026-05-13T18:31:56Z

Numéro de série : AV26-463
Date : 13 mai 2026

Le 13 mai 2026, Drupal a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits. Ces mises à jour de sécurité comprenaient un correctif critique pour le produit suivant :

Date iCal – versions antérieures à 4.0.15.

Bulletin de sécurité Palo Alto Networks (AV26-462)

2026-05-13T17:51:22Z

Numéro de série : AV26-462
Date : 13 mai 2026

Bulletin de sécurité Palo Alto Networks (AV26-462)

Le 13 mai 2026, Palo Alto Networks a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

PAN-OS 12.1 – versions antérieures à 12.1.4-h5;
PAN-OS 12.1 – versions antérieures à 12.1.7;
PAN-OS 11.2 – multiples versions;
PAN-OS 11.1 – multiples versions;
PAN-OS 10.2 – multiples versions.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci-dessous, de suivre les mesures d'atténuation recommandées et d'appliquer les mises à jour nécessaires.

Bulletin de sécurité F5 (AV26-461)

2026-05-13T17:45:16Z

Numéro de série : AV26-461
Date : 13 mai 2026

Le 13 mai 2026, F5 a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits. Ces mises à jour de sécurité comprenaient des correctifs critiques pour les produits suivants :

BIG-IP (all modules) – multiples versions;
BIG-IP APM – multiples versions;
BIG-IP Advanced WAF/ASM – multiples versions;
BIG-IP BIG-IP Advanced WAF/ASM and BIG-IP DDoS Hybrid Defender – multiples versions;
BIG-IP Next CNF – multiples versions;
BIG-IP Next CNF – de la version 2.0.0 à 2.0.2, de la version 1.1.0 à 1.4.0;
BIG-IP Next CNF – de la version 2.0.0 à 2.2.1, de la version 1.1.0 à 1.4.1;
BIG-IP Next SPK – de la version 2.0.0 à 2.0.2, de la version 1.7.0 à 1.7.15;
BIG-IP Next SPK – de la version 2.0.0 à 2.0.2, de la version 1.7.0 à 1.7.16;
BIG-IP Next SPK – de la version 2.0.0 à 2.0.3, de la version 1.7.0 à 1.9.2;
BIG-IP Next for Kubernetes – version 2.0.0;
BIG-IP Next for Kubernetes – de la version 2.0.0 à 2.1.0;
BIG-IP Next for Kubernetes – de la version 2.0.0 à 2.1.1;
BIG-IP PEM – multiples versions;
BIG-IQ Centralized Management – version 8.4.0;
F5 DoS for NGINX – version 4.8.0;
F5 WAF for NGINX – de la version 5.9.0 à 5.12.1;
NGINX App Protect DoS – de la version 4.3.0 à 4.7.0;
NGINX App Protect WAF – de la version 5.1.0 à 5.8.0, de la version 4.9.0 à 4.16.0;
NGINX Gateway Fabric – de la version 2.0.0 à 2.5.1, de la version 1.3.0 à 1.6.2;
NGINX Ingress Controller – multiples versions;
NGINX Instance Manager – de la version 2.16.0 à 2.21.1;
NGINX Open Source – de la version 1.0.0 à 1.30.0, de la version 0.6.27 à 0.9.7;
NGINX Plus – de la version R32 à R36.

K000160932: Quarterly Security Notification (May 2026) (en anglais seulement)

Bulletin de sécurité Exim (AV26-460)

2026-05-13T14:58:47Z

Numéro de série : AV26-460
Date: 13 mai 2026

Le 12 mai 2026, Exim a publié un bulletin de sécurité visant à corriger une vulnérabilité liée au produit suivant :

Exim – de la version 4.97 à99.2.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci-dessous, de suivre les mesures d’atténuation recommandées et d’appliquer les mises à jour nécessaires.