Aller au contenu principal
CloudKey
English Français
Demander une démo

CVE

Bulletin CVE : six ajouts au KEV touchent Oracle, Ivanti et Cisco

La CISA a ajoute six CVE au KEV durant la semaine du 15 juin 2026 : Oracle PeopleSoft, Ivanti Sentry, Cisco SD-WAN, Arista, Chrome et LiteLLM. Scores et quoi corriger d'abord.

Par CloudKey Security Research 8 min de lecture
CloudKey banniere du bulletin CVE hebdomadaire : ajouts au KEV couverts (Oracle PeopleSoft, Ivanti Sentry, Cisco SD-WAN, Arista EOS, Google Chrome et LiteLLM)

Six vulnerabilites sont entrees dans le catalogue Known Exploited Vulnerabilities de la CISA durant la semaine se terminant le 15 juin 2026, et la liste ressemble a l’inventaire d’un perimetre d’entreprise classique : un composant ERP d’Oracle, une passerelle Ivanti, un controleur SD-WAN Cisco, une famille de commutateurs Arista, le navigateur Chrome et le proxy d’IA LiteLLM. Deux d’entre eux affichent un score EPSS proche du sommet de la distribution. Les quatre autres restent proches du plancher. Cet ecart est toute la raison de lire les deux signaux plutot qu’un seul.

Trois acronymes traversent ce bulletin. CVSS evalue a quel point une faille serait dommageable si quelqu’un l’exploitait, sur une echelle de 0 a 10. EPSS estime la probabilite qu’elle soit exploitee dans les 30 prochains jours, indiquee ici en pourcentage. KEV est le catalogue de la CISA des failles dont les attaques reelles sont confirmees. Gravite et probabilite ne sont pas la meme chose. La methode complete est dans notre analyse CVSS vs EPSS vs KEV.

Ce qui est entre au KEV cette semaine

Les six entrees ci-dessous figurent dans le flux KEV de la CISA avec une dateAdded dans les sept derniers jours, ce qui est la seule raison de leur presence dans ce bulletin. Les scores cites sont les scores de base CVSS v3.1 de NVD et les valeurs EPSS renvoyees par FIRST le 15 juin 2026. L’appartenance au KEV est un fait binaire : la CISA les liste comme exploitees. EPSS est une lecture distincte et probabiliste, et le graphique ci-dessous montre a quel point les deux peuvent diverger en une seule semaine.

CVE-2026-10520 Ivanti Sentry60 %CVE-2026-42271 BerriAI LiteLLM54 %CVE-2026-20245 Cisco Catalyst SD-WAN1,0 %CVE-2026-35273 Oracle PeopleSoft0,7 %CVE-2026-11645 Google Chrome0,7 %CVE-2026-7473 Arista EOS0,4 %

Probabilite EPSS pour les six ajouts au KEV de la semaine. Les six sont listees comme exploitees, mais EPSS n’en juge que deux probables a 30 jours. Le catalogue et le modele mesurent des choses differentes : c’est pourquoi c’est le statut KEV, pas EPSS seul, qui fixe l’ordre ici.

Deux failles qu’EPSS classe aussi haut

Ces deux-la se situent au 99e percentile de la distribution EPSS. Sous la barre de probabilite de 0,8 qui marquerait un vrai mouvement, mais assez haut pour que le modele et le catalogue pointent dans le meme sens. Quand les deux signaux concordent, le choix de file n’est plus une question d’appreciation.

CVE-2026-10520 : Ivanti Sentry

Score CVSS de base : 10,0 (Critique). EPSS : 60 % (99e percentile).

CVE-2026-10520 est une injection de commande OS dans Ivanti Standalone Sentry qui permet a un utilisateur distant non authentifie d’atteindre une execution de code a distance au niveau root. NVD liste comme affectees les versions de Sentry anterieures a 10.5.2, la plage 10.6.0 a 10.6.1 avant 10.6.2, et 10.7.0 avant 10.7.1. Le vecteur CVSS (AV:N/AC:L/PR:N/UI:N/S:C) decrit la pire combinaison pour un equipement de perimetre : accessible par le reseau, sans privileges, sans interaction, avec changement de portee. La CISA l’a ajoutee au KEV le 11 juin 2026. Une execution de code a distance non authentifiee et au niveau root, accessible par le reseau, reste rarement confinee a un seul hote.

CVE-2026-42271 : BerriAI LiteLLM

Score CVSS de base : 8,8 (Eleve). EPSS : 54 % (99e percentile).

CVE-2026-42271 est une injection de commande dans les endpoints de previsualisation du serveur MCP de LiteLLM (POST /mcp-rest/test/connection et POST /mcp-rest/test/tools/list). D’apres la fiche NVD, ces endpoints acceptaient des configurations de serveur pouvant lancer des sous-processus arbitraires, de sorte que tout utilisateur authentifie, y compris le detenteur d’une cle internal-user a faibles privileges, pouvait executer des commandes arbitraires sur l’hote. Les versions affectees vont de 1.74.2 jusqu’a avant 1.83.7. La CISA l’a ajoutee au KEV le 8 juin 2026. Comme une cle a faibles privileges suffit, considerez chaque detenteur de cle LiteLLM comme un executeur de commandes local potentiel jusqu’a votre passage sur une version corrigee.

Quatre ajouts au KEV qu’EPSS classe encore bas

Les quatre suivantes sont elles aussi listees comme exploitees, mais leurs scores EPSS restent sous 1,5 %. Cet ecart n’est pas une contradiction. KEV reflete un usage observe ; EPSS reflete l’ampleur que le modele anticipe pour l’exploitation a court terme. Un EPSS bas sur une CVE listee au KEV rappelle qu’EPSS est en retard sur les ajouts recents, ce n’est pas une raison de deprioriser.

CVE-2026-35273 : Oracle PeopleSoft Enterprise PeopleTools

Score CVSS de base : 9,8 (Critique). EPSS : 0,7 % (49e percentile).

CVE-2026-35273 est une faille d’authentification manquante (CWE-306) dans le composant Updates Environment Management de PeopleSoft Enterprise PeopleTools. NVD decrit un attaquant reseau non authentifie obtenant une compromission complete du systeme via HTTP, et liste PeopleTools 8.61 et 8.62 comme affectees. La CISA l’a ajoutee au KEV le 12 juin 2026. Le 0,7 % d’EPSS parait bas pour un 9,8 : c’est l’argument pour confronter d’abord la CVE a votre inventaire. Cela ne compte que si vous executez PeopleSoft, et compte beaucoup si c’est le cas.

CVE-2026-11645 : Google Chrome (V8)

Score CVSS de base : 8,8 (Eleve). EPSS : 0,7 % (49e percentile).

CVE-2026-11645 est une lecture et ecriture hors limites dans le moteur JavaScript V8. D’apres NVD, un attaquant distant pouvait executer du code arbitraire a l’interieur du bac a sable via une page HTML concue a cet effet, dans les versions de Chrome anterieures a 149.0.7827.103 sur macOS, Linux et Windows. Le vecteur exige une interaction utilisateur (UI:R), ce qui correspond a une page piegee. La CISA l’a ajoutee au KEV le 9 juin 2026. Les correctifs de navigateur arrivent par mise a jour automatique, donc le travail consiste a verifier que les postes du parc ont bien redemarre sur la version corrigee plutot que de le supposer.

CVE-2026-20245 : Cisco Catalyst SD-WAN Manager

Score CVSS de base : 7,8 (Eleve). EPSS : 1,0 % (57e percentile).

CVE-2026-20245 est une faille d’encodage de sortie dans la CLI des produits Cisco Catalyst SD-WAN. NVD decrit un attaquant local authentifie avec privileges netadmin executant des commandes arbitraires en tant que root en fournissant un fichier concu a cet effet, ce qui transforme un compte admin en root sur le controleur. La plage affectee couvre SD-WAN Manager (vManage), Controller (vSmart) et Validator (vBond) sur plusieurs trains de versions sous les builds corriges. La CISA l’a ajoutee au KEV le 9 juin 2026. Le prerequis local et authentifie explique l’EPSS modeste, mais sur un plan de gestion cette portee est l’enjeu.

CVE-2026-7473 : Arista EOS

Score CVSS de base : 5,8 (Moyen). EPSS : 0,4 % (29e percentile).

CVE-2026-7473 est l’exception a faible gravite de la semaine, une faille de comparaison incomplete dans la decapsulation de tunnel d’Arista EOS. D’apres NVD, un commutateur configure pour VXLAN, decap-groups ou GRE decapsule et transmet a tort des paquets tunnelises inattendus dont l’IP de destination correspond a son adresse de decapsulation configuree. NVD indique un score de base CVSS v3.1 de 5,8 (un score de base CVSS v4.0 de 6,9 est aussi enregistre), et l’impact se limite a l’integrite, pas a une compromission complete. Elle ne s’applique que la ou la decapsulation de tunnel est configuree. La CISA l’a ajoutee au KEV le 9 juin 2026. Elle merite une place au planning, pas en tete.

Quoi changer dans votre file cette semaine

La lecture honnete de la semaine, c’est que quatre des six glisseraient vers le bas d’une file triee par CVSS ou par EPSS, alors meme que la CISA les liste toutes les six comme exploitees. KEV est le signal qui les remonte. Trois gestes concrets :

  1. Filtrez sur ce que vous executez, puis triez par KEV. Oracle PeopleSoft et Cisco SD-WAN ont une empreinte etroite ; Chrome est sur presque chaque poste. Le meme statut KEV represente un travail tres different selon votre inventaire.
  2. Ne laissez pas un EPSS bas l’emporter sur KEV pour un ajout recent. EPSS est en retard sur les nouvelles entrees du catalogue, donc un 0,4 % ou 0,7 % sur une CVE signalee cette semaine est un artefact de calendrier, pas un feu vert.
  3. Re-testez les correctifs de perimetre. Les failles Ivanti Sentry et Oracle PeopleSoft sont toutes deux non authentifiees et accessibles par le reseau. Un redemarrage ou une note de configuration ne ferme pas un constat tant que vous n’avez pas confirme que le chemin a disparu.

Si vous n’avez le temps que pour deux cette semaine, commencez par les deux a la fois listees au KEV et a fort EPSS : Ivanti Sentry et LiteLLM. Travaillez ensuite le reste face a votre liste d’actifs.

Sources

Équipe recherche sécurité

CloudKey Security Research

L'équipe recherche CloudKey suit les CVE émergents, les chaînes d'exploit et les campagnes actives. Les constats alimentent la plateforme et les avis clients qui suivent.

Voir tous les articles → LinkedIn ↗ X ↗

Continuer la lecture

Brief hebdo

Le brief patch-priorité en 5 minutes

700+ CVE par semaine. Nous vous envoyons celles qui comptent : exploitées, à corriger en premier, à ignorer.

Aucune revente de données. Désabonnement en un clic, lien dans chaque e-mail. Confidentialité.