Faille zero-day dans Microsoft Defender 🛡️, JCE Joomla exploité sans authentification 🔓, FortiSandbox sous attaque ⚔️
• 3 minutes de lectureBonjour, voici ta veille Cybere du 18 juin 2026 !
Les failles critiques s'enchaînent et sont exploitées plus vite que les correctifs ne sont appliqués : même patchées par leurs éditeurs, elles laissent un intervalle entre la mise à disposition du correctif et son installation, où les attaquants s'engouffrent.
Retrouve les trois articles à la une du jour :
- Microsoft Defender contient une faille zero-day permettant une escalade de privilèges
- CISA signale l'exploitation active d'une faille critique dans l'extension JCE pour Joomla
- FortiSandbox visé par l'exploitation de deux failles, une troisième sous tentatives
Microsoft Defender : une faille zero-day d'escalade de privilèges identifiée
Microsoft a confirmé l'existence d'une vulnérabilité d'escalade de privilèges dans le moteur de protection des programmes malveillants de Defender, désignée CVE-2026-50656 avec un score CVSS de 7.8. Déjà évoqué le 11 juin, l'exploit RoguePlanet reçoit désormais un identifiant CVE et une confirmation officielle de Microsoft.
Le chercheur Chaotic Eclipse a révélé que la faille exploite un accès de concurrence (race condition) permettant d'obtenir des droits SYSTEM. Bien que son taux de succès varie selon les machines, le chercheur a observé que l'exploit fonctionne indépendamment de l'activation de la protection en temps réel. Microsoft prépare un correctif de sécurité pour résoudre ce problème.
Points d'attention
- Le chercheur a déjà divulgué trois autres failles dans Microsoft Defender : BlueHammer (
CVE-2026-33825), UnDefend (CVE-2026-45498) et RedSun (CVE-2026-41091), toutes corrigées par Microsoft. - D'après le chercheur, l'exploit RoguePlanet pourrait aussi fonctionner en mode passif, ce qu'il n'a toutefois pas testé.
- Microsoft confirme enquêter activement sur la validité et l'applicabilité des allégations signalées.
CISA alerte sur l'exploitation active d'une faille critique de l'extension JCE (Joomla)
L'agence américaine CISA a inscrit la CVE-2026-48907 au catalogue des vulnérabilités exploitées, affectant l'extension JCE pour Joomla avec un score CVSS de 10.0.
La faille repose sur un défaut de contrôle d'accès permettant à des utilisateurs non authentifiés de créer des profils d'éditeur et d'exécuter du code PHP. Les versions 1.0.0 à 2.9.99.4 sont impactées. Le correctif version 2.9.99.5, publié le 3 juin 2026, est obligatoire pour les agences fédérales d'ici le 19 juin.
Points d'attention
- L'exploitation est automatisée et active, avec des codes d'exploitation publics disponibles.
- Les attaquants utilisent les profils d'éditeur malveillants pour déployer des shells web persistants.
- La mise à jour bloque le vecteur d'entrée, mais ne nettoie pas un site déjà compromis : audit des journaux d'accès et recherche de profils d'éditeur ou de web shells suspects restent indispensables.
Fortinet : deux failles FortiSandbox exploitées activement, une troisième visée
Des chercheurs en cybersécurité observent l'exploitation active de vulnérabilités critiques dans FortiSandbox depuis début juin, environ deux mois après leur divulgation en avril par Fortinet.
VulnCheck a détecté l'exploitation de la CVE-2026-39808, une injection de commande système, le 9 juin. Defused a confirmé son exploitation le 11 juin et a observé celle de la CVE-2026-39813, une faille de traversée de répertoires, le 15 juin. Les chercheurs ont également identifié des tentatives d'exploitation de la CVE-2026-25089, divulguée le 9 juin. Entre le 9 et le 15 juin, 49 événements d'exploitation ont été enregistrés depuis 11 adresses IP distinctes. L'activité a été tracée à 13 sources réparties dans neuf pays.
Points d'attention
- Les exploits contournent l'authentification et permettent l'exécution de commandes arbitraires sur des appliances critiques de l'infrastructure de sécurité.
- FortiSandbox ingère les données d'autres équipements Fortinet, amplifiant les risques en cas de compromission du système.
- L'activité post-exploitation se limite actuellement à une phase de reconnaissance, susceptible de précéder une vague d'attaques plus large, menée par plusieurs opérateurs indépendants plutôt que par une campagne unique.
Autres actus importantes
- Le ransomware INC prospère en maîtrisant les bases
- Une campagne de Crypto Clipper exploite de faux avis, des narrateurs IA et des commentaires VirusTotal
- INTERPOL alerte sur l’explosion cyber en Asie
- Kodak confirme la violation de données revendiquée par le gang d'extorsion ShinyHunters
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere