Debian corrige plus de cent failles 🔐, Digi vulnérable sans correctif 🚨, Siemens corrige ses équipements ⚡
• 2 minutes de lectureBonjour, voici ta veille Cybere du 13 juillet 2026 !
Les correctifs s'enchaînent, mais les failles persistent sur des équipements en fin de vie ou des composants système essentiels.
Retrouve les trois articles à la une du jour :
- Debian 13.6 corrige plus de cent vulnérabilités
- Deux failles affectent les appareils Digi International
- Siemens alerte sur des vulnérabilités élevées dans SINEC OS
Debian 13.6 corrige plus de cent vulnérabilités en sécurité
Debian 13.6, nommé « trixie », déploie plus d'une centaine d'avis de sécurité pour corriger des failles dans ses composants critiques.
La mise à jour s'articule autour d'un enjeu majeur : l'expiration d'un certificat Secure Boot utilisé par défaut depuis 2013 sur la plupart des machines. L'outil de mise à jour de firmware fwupd passe à la version 2.0.20 pour permettre la mise à jour de l'autorité de certification, de la clé d'échange de clés (KEK) et de la base de révocation. L'outillage web curl et le serveur web apache2 concentrent à eux seuls 26 corrections, couvrant des fuites de jetons, des débordements de tampons et des traversées de répertoires.
Points d'attention
- Le certificat Secure Boot expiré expose les machines à un échec d'amorçage lors des futures mises à jour de shim-signed sans application des correctifs CA/KEK/DBX fournis par l'OEM.
- curl résout 13 failles dont des fuites d'identifiants lors de redirections et réutilisations de certificats non valides.
- QEMU migre vers une version stable portant 25 corrections de sécurité pour les environnements virtualisés.
Deux failles compromettent les appareils Digi International
La CVE-2026-12352 permet à un acteur non authentifié de contourner l'authentification et d'accéder aux ressources restreintes des appareils PortServer TS, Digi One SP, Digi One SP IA et Digi One IA.
La CVE-2026-12948 est une vulnérabilité de type XSS stocké dans l'interface de gestion web qui permet à un administrateur authentifié d'injecter du code malveillant dans les champs de configuration. Digi International ne fournira pas de correctif pour cette dernière vulnérabilité, les produits affectés approchant la fin de vie.
Points d'attention
CVE-2026-12352dispose d'un CVSS 3.1 de 5.9 (CVSS 4.0 : 8.2), affectant les versions antérieures à Firmware_2025.CVE-2026-12948dispose d'un CVSS 3.8 (CVSS 4.0 : 4.8), nécessitant un accès authentifié administrateur.- Les correctifs recommandés incluent l'activation d'HTTPS, la désactivation du serveur web ou la restriction d'accès par pare-feu.
De multiples failles affectent les équipements Siemens
Siemens a publié un avis de sécurité concernant SINEC OS sur le RUGGEDCOM RST2428P, avant la version 4.0, regroupant de nombreuses vulnérabilités dont plusieurs de sévérité élevée.
Les failles touchent des composants système essentiels : dépassements de tampon, débordements d'entiers, contrôles d'accès insuffisants et lecture hors limites. Parmi elles, CVE-2025-9086 et CVE-2025-9230 affichent un score CVSS 3.1 de 7,5, CVE-2025-13465 atteint 7,2, et CVE-2025-13601 culmine à 7,7.
Points d'attention
- Mise à jour vers
V4.0ou version ultérieure recommandée immédiatement pour tous les appareils RUGGEDCOM RST2428P. CVE-2025-13601provoque un débordement de tas via calcul erroné dansg_escape_uri_string()de glib.CVE-2025-13465expose une pollution de prototype dans Lodash4.0.0à4.17.22, corrigée en4.17.23.
Autres actus importantes
- Le malware Android RedHook utilise désormais Wireless ADB pour l'accès shell
- La CISA ajoute deux vulnérabilités exploitées connues à son catalogue
- Série Schneider Electric Easergy MiCOM Px40
- De nouvelles failles dans U-Boot pourraient permettre des attaques furtives sur le firmware
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere