Bulletin CVE : Splunk, JCE pour Joomla et LiteSpeed exploites dans la nature

Trois vulnerabilites sont desormais confirmees exploitees dans la nature, chacune ajoutee au catalogue Known Exploited Vulnerabilities (KEV) de la CISA durant la semaine se terminant le 22 juin 2026 : une faille d’authentification manquante dans Splunk Enterprise, une faille de controle d’acces dans l’editeur JCE pour Joomla, et un bug de suivi de lien symbolique dans le plugin cPanel LiteSpeed. Deux des trois affichent un score de 9,8 et le troisieme se situe a 8,5, mais chacune porte un score EPSS bien en dessous de la barre de probabilite de 0,8 qui marquerait un vrai mouvement. Cet ecart, une gravite elevee a cote d’une probabilite modeste a court terme, est la raison de lire les deux chiffres plutot qu’un seul.

Trois acronymes traversent ce bulletin. CVSS evalue a quel point une faille serait dommageable si quelqu’un l’exploitait, sur une echelle de 0 a 10. EPSS estime la probabilite qu’elle soit exploitee dans les 30 prochains jours, indiquee ici en pourcentage. KEV est le catalogue de la CISA des failles dont les attaques reelles sont confirmees. Gravite et probabilite ne sont pas la meme chose. La methode complete est dans notre analyse CVSS vs EPSS vs KEV.

Ce qui est desormais confirme exploite cette semaine

Les trois entrees ci-dessous figurent dans le flux KEV de la CISA avec une dateAdded dans les sept derniers jours, ce qui est la seule raison de leur presence dans ce bulletin. Les scores CVSS sont les scores de base v3.1 de NVD ; les valeurs EPSS sont celles renvoyees par FIRST le 21 juin 2026. L’appartenance au KEV est un fait binaire : la CISA les liste comme exploitees. EPSS est une lecture distincte et probabiliste, et le graphique montre a quel point cette lecture reste basse meme sur des failles confirmees exploitees.

Trois failles confirmees exploitees, desormais au KEV

L’ordre ci-dessous suit l’EPSS, du plus eleve au plus bas, mais l’enjeu de la section est que les trois partagent le meme statut KEV. Le modele diverge sur la vitesse de propagation de chacune ; la CISA ne diverge pas sur le fait qu’elles ont ete utilisees.

CVE-2026-20253 : Splunk Enterprise

Score CVSS de base : 9,8 (Critique). EPSS : 10 % (95e percentile).

CVE-2026-20253 est une faille d’authentification manquante pour fonction critique (CWE-306) dans Splunk Enterprise. NVD decrit un utilisateur non authentifie creant ou tronquant des fichiers arbitraires via un endpoint de service PostgreSQL sidecar, avec comme builds affectes 10.0.0 jusqu’a avant 10.0.7 et 10.2.0 jusqu’a avant 10.2.4. Le vecteur CVSS (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) est le profil accessible par le reseau, sans authentification, sans interaction, qui justifie un correctif immediat. La CISA l’a ajoutee au KEV le 18 juin 2026. La possibilite de tronquer des fichiers arbitraires sur une plateforme de journalisation et de detection est un probleme en soi : le systeme sur lequel vous comptez pour voir une attaque est celui qui est expose.

Pour aller plus loin : comment fonctionne l’ecriture de fichier non authentifiee et les builds exacts a corriger.

CVE-2026-48907 : Widget Factory JCE (Joomla Content Editor)

Score CVSS de base : 9,8 (Critique). EPSS : 6,9 % (93e percentile).

CVE-2026-48907 est une faille de controle d’acces incorrect (CWE-284) dans l’extension d’editeur JCE pour Joomla. D’apres NVD, la faille permet la creation de nouveaux profils d’editeur pour des utilisateurs non authentifies, ce qui aboutit au telechargement et a l’execution de code PHP sur le serveur. NVD liste comme affectees toutes les versions de JCE anterieures a 2.9.99.5, enregistre un score de base v3.1 de 9,8, et un score de base v4.0 secondaire de 10,0. La CISA l’a ajoutee au KEV le 16 juin 2026. L’execution de PHP non authentifiee sur un CMS public est le chemin eprouve vers un web shell, donc une installation Joomla exposee a Internet executant JCE doit figurer en haut de la file.

Pour aller plus loin : le chemin vers le web shell via l’editeur JCE et les versions qui le corrigent.

CVE-2026-54420 : plugin cPanel LiteSpeed

Score CVSS de base : 8,5 (Eleve). EPSS : 0,7 % (46e percentile).

CVE-2026-54420 est une faille de suivi de lien symbolique UNIX (CWE-61) dans le plugin cPanel LiteSpeed. NVD decrit le plugin gerant mal les liens symboliques fournis par un utilisateur disposant deja d’un acces FTP ou web shell sur un serveur d’hebergement mutualise sous CloudLinux/CageFS, et la fiche la note comme exploitee dans la nature en mai 2026. Les builds affectes sont le plugin cPanel LiteSpeed anterieur a 2.4.8, tel que distribue dans le plugin WHM LiteSpeed anterieur a 5.3.2.0. Le vecteur CVSS (AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H) reflete les prerequis : l’attaquant a besoin d’un point d’appui a faibles privileges existant et la complexite d’attaque est elevee, ce qui explique le faible EPSS. Sur un hebergement mutualise, c’est le changement de portee (S:C) qui est le danger, puisqu’un locataire s’echappant de CageFS atteint les autres.

Pour aller plus loin : l’evasion de CageFS sur hebergement mutualise et la version corrigee du plugin.

Quoi changer dans votre file cette semaine

Le schema de la semaine, c’est trois failles confirmees exploitees qu’une file triee par EPSS pousserait vers le bas. Splunk et JCE affichent toutes deux 9,8, mais leur EPSS se situe a 10 % et 6,9 % ; LiteSpeed lit 0,7 %. KEV est le signal qui les maintient en haut. Trois gestes :

1. Filtrez sur ce que vous executez, puis triez par KEV. Splunk Enterprise et un CMS Joomla ont des empreintes etroites et specifiques ; une stack LiteSpeed en hebergement mutualise l’est encore plus. Le meme statut KEV represente un travail tres different selon votre inventaire.
2. Ne laissez pas un EPSS bas l’emporter sur un ajout KEV recent. EPSS est en retard sur les nouvelles entrees du catalogue, donc un 0,7 % sur une CVE signalee cette semaine par la CISA est un artefact de calendrier, pas un feu vert.
3. Re-testez les deux failles reseau non authentifiees. L’ecriture de fichier de Splunk et le telechargement PHP de JCE sont tous deux accessibles sans identifiants. Un changement de version ne ferme pas un constat tant que vous n’avez pas confirme que le chemin a disparu.

Si vous n’avez le temps que pour une seule cette semaine, commencez par celle de Splunk Enterprise ou de JCE que vous executez reellement : les deux sont non authentifiees, accessibles par le reseau et notees 9,8. Travaillez ensuite LiteSpeed face a votre empreinte d’hebergement.