Bulletin CVE de la semaine 2026-06-09 : Linux, Android, Magento, SolarWinds

Quatre CVE ont rejoint le catalogue des vulnerabilites activement exploitees de la CISA (KEV) entre le 2 et le 5 juin 2026. Deux visent des infrastructures tres deployees : les hotes de conteneurs sous noyau Linux et les appareils Android. Une touche les serveurs e-commerce qui utilisent une extension Magento repandue. Une autre fait planter des appliances de transfert de fichiers exposees sur l’internet public.

La tendance de cette semaine reste coherente avec les derniers mois. Une CVE Linux vieille de quatre ans, avec un percentile EPSS quasi parfait, refait surface parce que des hotes non corriges existent toujours a grande echelle. Un zero-day confirme par Google, avec un EPSS faible mais un deploiement cible, evoque un usage de type logiciel espion plutot qu’une automatisation de masse. Une RCE non authentifiee dans un module Magento tres installe est ajoutee quelques jours apres l’observation de son exploitation. Et une faille de deni de service dans SolarWinds Serv-U obtient une entree KEV parce que 12 000 instances sont joignables depuis l’internet public. Aucune de ces failles n’est theorique.

Trois sigles reviennent dans ce bulletin. Le CVSS note la gravite d’une faille si quelqu’un l’exploitait, sur une echelle de 0 a 10. L’EPSS estime la probabilite qu’elle soit exploitee dans les 30 prochains jours, exprimee sous forme de probabilite et de percentile face a toutes les autres CVE suivies. Le KEV est le catalogue de la CISA des failles avec une exploitation reelle confirmee derriere elles. Gravite et probabilite ne sont pas la meme chose : une faille a 9,8 que personne n’attaque peut attendre derriere une 7,5 deja exploitee. La methode complete se trouve dans notre comparatif CVSS vs EPSS vs KEV.

Ce qui est entre au KEV cette semaine

La CISA ajoute des CVE au titre de la directive operationnelle contraignante 22-01, qui impose aux agences federales civiles americaines de remedier dans un delai fixe. Ces echeances sont un repere externe utile pour toute equipe qui a besoin d’un motif defendable pour escalader un correctif vers une fenetre d’urgence.

CVE-2022-0492 : elevation de privileges cgroups v1 du noyau Linux

Ajout au KEV : 2 juin 2026. Echeance federale : 5 juin 2026.

Score de base CVSS : 7,8 (eleve). EPSS : 34 % (97e percentile).

La fonctionnalite release_agent des cgroups v1 dans le noyau Linux permet a un utilisateur local non privilegie d’ecrire un chemin de fichier arbitraire dans le fichier de l’agent de liberation. Quand le dernier processus de ce cgroup se termine, le noyau execute ce chemin en tant que root. Depuis l’interieur d’un conteneur avec cgroups v1 monte, un attaquant peut s’evader vers l’hote avec les pleins privileges root, en une sequence qui prend moins d’une minute : monter un controleur memoire cgroup v1, creer un cgroup enfant, ecrire le chemin de la charge utile dans release_agent, activer notify_on_release, puis lancer et tuer un processus dans le cgroup.

La CVE a ete corrigee en 2022. Le score EPSS au 97e percentile en juin 2026 reflete un fait : les hotes de conteneurs non corriges sous cgroups v1 sont reperes et exploites a grande echelle, quatre ans apres la publication du correctif. Quand la CISA ajoute une CVE de 2022 au KEV, ce n’est pas un exercice de menage. C’est un signal que les attaquants disposent d’un outillage etabli pour ce vecteur et qu’ils s’en servent.

Attenuation : passer aux cgroups v2, qui sont la valeur par defaut des distributions modernes. Verifier qu’aucun controleur cgroups v1 n’est monte dans les conteneurs en cours d’execution. Appliquer Seccomp et un profil AppArmor ou SELinux pour restreindre ce que les charges de travail des conteneurs peuvent monter.

CVE-2025-48595 : depassement d’entier du framework Android

Ajout au KEV : 2 juin 2026.

Score de base CVSS : 8,4 (eleve). EPSS : 0,5 % (68e percentile).

L’EPSS faible et l’inscription au KEV ne se contredisent pas. Ils decrivent des choses differentes. L’EPSS reflete une faible probabilite d’exploitation large ; l’inscription au KEV reflete une exploitation ciblee confirmee. Cette combinaison est la signature d’un deploiement d’outil de surveillance : un petit nombre d’acteurs sophistiques, un vaste reservoir de victimes potentielles qui n’ont pas encore applique la mise a jour de securite Android de juin 2026, et une fenetre qui dure aussi longtemps que le retard de correctif.

Le depassement d’entier se situe dans le framework Android et touche Android 14, 15 et 16. Une application installee localement, sans permission particuliere, envoie une intention malveillante portant une grande valeur entiere a un service vulnerable du framework. L’entier deborde, ce qui amene le service a allouer un tampon de zero octet puis a y copier une grande charge utile. Une chaine ROP dans cette charge desactive l’application de SELinux ou ouvre un shell root. L’attaquant obtient des privileges de niveau systeme avec acces a toutes les donnees utilisateur et a toutes les fonctions de l’appareil.

Correctif : appliquer la mise a jour de securite Android de juin 2026. Pour les environnements MDM d’entreprise, traiter ceci comme une fenetre de conformite de 48 heures sur les appareils appartenant a l’entreprise, et non comme le cycle mensuel par defaut.

CVE-2026-45247 : deserialisation Mirasvit Full Page Cache Warmer (Magento / Adobe Commerce)

Ajout au KEV : 3 juin 2026.

Score de base CVSS : 9,8 (critique). EPSS : 6,1 % (91e percentile).

Il s’agit d’une execution de code a distance non authentifiee via la deserialisation d’objet PHP dans l’extension Mirasvit Full Page Cache Warmer pour Magento 2 et Adobe Commerce, dans toutes les versions anterieures a 1.11.12. Le chemin d’attaque ne demande qu’une seule requete HTTP. Un objet PHP serialise, encode en base64 dans le cookie CacheWarmer, atteint l’extension sans validation. Une chaine de gadgets issue de l’arbre de dependances de l’application execute des commandes arbitraires sous le contexte du serveur web.

Aucune authentification n’est requise. Une exploitation active a ete observee dans des campagnes visant des plateformes de jeu et des sites e-commerce professionnels, les Etats-Unis, le Royaume-Uni, la France et l’Australie etant les regions les plus ciblees. Le schema d’exploitation utilise un balayage automatise pour identifier les instances Magento non corrigees, suivi de la livraison de la charge utile. La CISA a ajoute la CVE trois jours apres la publication du correctif, ce qui signifie que les attaquants l’exploitaient avant que la plupart des administrateurs aient eu le temps d’appliquer le correctif.

Correctif : mettre a jour vers Mirasvit Full Page Cache Warmer version 1.11.12 ou superieure, publiee le 25 mai 2026. Si un correctif immediat est impossible, desactiver l’extension et mettre en place une regle WAF bloquant les charges PHP serialisees encodees en base64 dans les valeurs de cookie.

CVE-2026-28318 : consommation de ressources incontrolee dans SolarWinds Serv-U

Ajout au KEV : 5 juin 2026. Echeance federale : 19 juin 2026.

Score de base CVSS : 7,5 (eleve). EPSS : 6,7 % (91e percentile).

Un attaquant non authentifie peut faire planter SolarWinds Serv-U en envoyant une requete POST forgee avec un en-tete Content-Encoding: deflate contenant une charge compressee malformee. Pendant la decompression, le service Serv-U epuise les ressources systeme et s’arrete. Aucune authentification n’est necessaire. Aucune interaction utilisateur n’est necessaire. L’attaque ne demande qu’un acces reseau a l’ecouteur Serv-U.

La classification en deni de service peut sous-estimer l’impact operationnel reel. Serv-U est deploye comme appliance de transfert de fichiers gere dans des environnements de sante, gouvernementaux et financiers. Un plantage cible pendant une fenetre de transfert planifiee cree des trous de conformite et des defaillances operationnelles au-dela du plantage lui-meme. Shodan indexait plus de 12 000 instances Serv-U sur l’internet public au moment de l’inscription au KEV.

Correctif : passer a SolarWinds Serv-U 15.5.4 Hotfix 1. Pour les environnements qui ne peuvent pas corriger immediatement, restreindre l’acces entrant a Serv-U aux plages d’adresses IP des partenaires connus, au perimetre reseau.

Ce qu’il faut changer dans votre file cette semaine

Les ajouts au KEV de cette semaine couvrent quatre surfaces d’attaque distinctes : infrastructure de conteneurs, appareils mobiles, serveurs e-commerce et appliances de transfert de fichiers. Les quatre disposent de correctifs. Les quatre sont une exploitation confirmee.

Etapes concretes :

1. Hotes de conteneurs Linux : auditer toutes les charges de travail des conteneurs a la recherche de montages cgroups v1. Appliquer les correctifs du noyau quand ils existent et imposer cgroups v2 pour les nouvelles charges. Verifier que les profils AppArmor ou SELinux sont appliques, pas en mode permissif.

2. Parc Android : imposer une fenetre de conformite de 48 heures pour la mise a jour de securite Android de juin 2026 sur les appareils appartenant a l’entreprise. Les appareils personnels qui accedent a la messagerie ou au VPN d’entreprise ont besoin d’un enrolement ou d’une mise en quarantaine pour combler la meme faille.

3. Magento et Adobe Commerce : executer composer show mirasvit/module-cache-warmer sur chaque instance e-commerce aujourd’hui. Toute version inferieure a 1.11.12 est un vecteur RCE ouvert avec une exploitation active derriere. Mettre a jour ou desactiver.

4. SolarWinds Serv-U : appliquer le Hotfix 1 sur chaque instance avant le 19 juin. Supprimer l’exposition sur l’internet public des ecouteurs Serv-U quand les points de terminaison de transfert peuvent etre limites a des adresses de partenaires connues.

Le KEV est une liste courte par conception. Cette semaine, elle a ajoute quatre CVE confirmees comme presentes dans l’outillage actif des attaquants. Corriger les quatre supprime des vecteurs d’exploitation connus. C’est a cela que sert la liste, et c’est l’argument pour trier votre file de correctifs selon le statut KEV avant toute autre chose.