Le CERT-FR, le centre gouvernemental de réponse aux incidents, a publié ce 13 juillet son bulletin hebdomadaire des vulnérabilités significatives. Le document met notamment en avant des failles critiques affectant Junos OS Evolved et IBM WebSphere, ainsi que trois vulnérabilités accompagnées de preuves de concept publiques dans KVM ou le noyau Linux. Pour les équipes informatiques, le message est clair : vérifier l’exposition des systèmes concernés et intégrer les correctifs à leur plan de remédiation.
Un bulletin publié par l’ANSSI pour la semaine écoulée
Daté du 13 juillet 2026, le bulletin CERTFR-2026-ACT-030 récapitule les vulnérabilités considérées comme significatives par le CERT-FR pour la semaine 28, soit la période du 6 au 12 juillet. Le CERT-FR relève de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), placée auprès du Secrétariat général de la défense et de la sécurité nationale.
Le document ne prétend pas remplacer l’analyse de risque propre à chaque organisation. Il rappelle au contraire que les vulnérabilités citées doivent être prises en compte dans un plan de traitement lorsqu’elles créent un risque pour le système d’information, et renvoie les administrateurs vers les correctifs fournis par les éditeurs.
Junos OS Evolved et IBM WebSphere parmi les vulnérabilités critiques
Dans son tableau des vulnérabilités critiques publiées entre le 6 et le 12 juillet, le CERT-FR mentionne la CVE-2020-7450 dans Junos OS Evolved de Juniper Networks. La faille est associée à un score CVSS de 9,8 et peut permettre l’exécution de code arbitraire à distance, selon le bulletin. Le CERT-FR indique ne pas disposer d’information sur l’existence d’une preuve de concept publique et renvoie vers le avis de sécurité de Juniper.
Le même bulletin recense plusieurs vulnérabilités dans IBM WebSphere. Deux d’entre elles, CVE-2026-11546 et CVE-2026-11714, sont qualifiées de falsification de requêtes côté serveur (SSRF) et notées 9,8. IBM a publié ses avis dédiés, notamment pour CVE-2026-11546 et CVE-2026-11714. Le CERT-FR liste également CVE-2026-11541, un contournement de politique de sécurité noté 9,8, ainsi que deux vulnérabilités d’injection indirecte à distance, CVE-2026-11708 et CVE-2026-11712, notées 9,3.
Trois failles avec preuve de concept publique
Le CERT-FR attire aussi l’attention sur CVE-2026-53359, surnommée « Januscape ». Elle affecte les hyperviseurs KVM sur architecture x86 et peut permettre à un attaquant de sortir du système d’exploitation invité pour atteindre l’hôte. Le bulletin précise qu’une preuve de concept est disponible publiquement.
Deux vulnérabilités du noyau Linux sont également détaillées. CVE-2026-43499, dite « GhostLock », peut permettre à un attaquant local non privilégié d’élever ses privilèges ; une preuve de concept est là aussi publique. CVE-2026-46242, surnommée « Bad Epoll », est présentée de la même façon : elle touche le noyau Linux et permet une élévation locale de privilèges à un utilisateur non privilégié. Les références CVE sont accessibles depuis le bulletin officiel.
Ce que les équipes techniques peuvent vérifier
Pour les organisations qui exploitent les produits cités, la première étape consiste à identifier précisément les versions déployées et les systèmes exposés. Les vulnérabilités de type exécution de code à distance ou SSRF ne se traitent pas de la même manière qu’une élévation locale de privilèges : l’exposition réseau, les comptes disponibles et les mécanismes de cloisonnement doivent être examinés au cas par cas.
Le CERT-FR signale par ailleurs, dans la rubrique des autres vulnérabilités, une faille CVE-2026-48939 dans l’extension Icagenda de Joomlic, notée 10, dont l’exploitation est signalée, et une vulnérabilité dans Langflow, CVE-2026-55255, également indiquée comme exploitée. Dans les deux cas, les administrateurs concernés ont intérêt à consulter les notes de mise à jour de l’éditeur et à prioriser la correction après vérification de leur périmètre.
Le bulletin rappelle enfin les nombreux avis publiés par le CERT-FR durant la même période, concernant entre autres OpenSSH, Roundcube, SPIP, Google Chrome, GitLab, PHP, PostgreSQL JDBC, Microsoft Edge et plusieurs distributions ou produits Linux. Cette liste ne signifie pas que tous les systèmes sont exposés ; elle fournit un point d’entrée utile pour rapprocher les avis des inventaires techniques et des procédures de mise à jour existantes.
Le bon réflexe : suivre les avis et les correctifs éditeurs
La publication du CERT-FR ne fournit pas une consigne unique applicable à toutes les structures. Son utilité est de mettre en évidence les vulnérabilités dont la criticité, l’existence d’un code d’exploitation public ou l’exploitation déjà observée justifient une revue rapide. Les correctifs, versions concernées et éventuelles mesures d’atténuation restent à vérifier dans les avis des éditeurs et dans les publications du CERT-FR liées à chaque produit.
Pour les particuliers, ces références concernent surtout des logiciels et infrastructures administrés par des organisations. Pour les entreprises, collectivités et prestataires qui utilisent ces composants, le suivi régulier des avis de sécurité et l’application maîtrisée des mises à jour restent la base d’une réponse proportionnée.
À lire aussi : nos actualités technologie et numérique.

