Exchange faille XSS zero-day 📧, vulnérabilité plugin WP Maps Pro 🔓, Flowise RCE critique ⚡
• 2 minutes de lectureBonjour, voici ta veille Cybere du 1 juin 2026 !
Les vulnérabilités critiques s’enchaînent, exploitant des failles de conception ou des mécanismes mal sécurisés pour compromettre infrastructures et données. Les attaquants ciblent désormais aussi bien les outils collaboratifs que les plugins ou les plateformes IA.
Retrouve les trois articles à la une du jour :
- Une faille XSS zero-day dans Exchange Server permet d’exécuter du code via Outlook Web Access (OWA).
- Le plugin WordPress WP Maps Pro expose un point d’accès AJAX non authentifié pour créer des comptes admin.
- Flowise autorise l’exécution de code arbitraire via une injection dans son adaptateur MCP.
Une faille zero-day dans Exchange cible les boîtes mail
Cette vulnérabilité permet à un attaquant d’exécuter du code malveillant dans les sessions Outlook Web Access (OWA) des utilisateurs.
La faille CVE-2026-42897, classée XSS, affecte les versions locales d’Exchange Server 2016, 2019 et Subscription Edition. Un email piégé peut déclencher l’exécution de JavaScript dans le navigateur de la victime, donnant accès à sa boîte mail, ses jetons de session et la possibilité de modifier des paramètres ou des contenus.
Points d'attention
- Aucune correction n’est disponible à ce jour, malgré une exploitation active signalée.
- Les mesures d’urgence proposées par Microsoft perturbent certaines fonctionnalités d’OWA.
- Le Centre pour la Cybersécurité Belgique alerte sur des risques de compromission de comptes et d’attaques par rançongiciel.
Des comptes admin créés via une faille dans WP Maps Pro
Une vulnérabilité critique dans le plugin WordPress WP Maps Pro permet à des attaquants de prendre le contrôle complet de sites web.
La faille CVE-2026-8732, notée critique, affecte les versions 6.1.0 et antérieures du plugin. Elle résulte d'une fonction de "temporary access" mal sécurisée, conçue pour le support technique. Son point d'accès AJAX, accessible sans authentification, repose sur un nonce exposé en JavaScript, contournable par une requête spécialement forgée.
Points d'attention
- Les attaquants exploitent activement cette vulnérabilité, avec plus de 3 600 tentatives bloquées en 24 heures.
- La faille crée un compte admin avec une URL de connexion automatique, sans mot de passe ni vérification.
- Une mise à jour corrective (version
6.1.1) est disponible depuis le 20 mai 2026.
Une faille critique dans Flowise permet l'exécution de code à distance
Cette vulnérabilité expose des milliers d'instances auto-hébergées à des prises de contrôle complètes de serveurs.
La faille CVE-2026-40933 (score CVSS 9,9) affecte Flowise, une plateforme open source pour la création de flux d'IA, via une injection de commande dans le protocole MCP d'Anthropic. Elle résulte d'une sérialisation non sécurisée des commandes stdio dans l'adaptateur MCP, permettant à un attaquant d'exécuter du code arbitraire lors de l'import d'un chatflow malveillant.
Points d'attention
- L'exploitation ne nécessite qu'un compte utilisateur compromis ou un acteur interne malveillant.
- Les instances Flowise Cloud ne sont pas vulnérables, contrairement aux déploiements auto-hébergés.
- Un code PoC (Proof of Concept) public crée un reverse shell vers l'hôte Docker, avec des privilèges souvent root.
Autres actus importantes
- Les liens partagés de ChatGPT détournés pour héberger de fausses pages d’interruption et diffuser des logiciels malveillants
- Rapport Verizon DBIR : le secteur de la santé résiste à l’augmentation des attaques d’ingénierie sociale
- Mise à jour Chrome 148 : 151 vulnérabilités corrigées
- IBM et Red Hat engagent 5 milliards de dollars pour sécuriser les chaînes d’approvisionnement open source via le 'Projet Lightwell'
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere