Langflow RCE sans authentification 🤖, Ivanti Sentry root accessible 🔓, Windows zero-day persistant 💻
• 3 minutes de lectureBonjour, voici ta veille Cybere du 11 juin 2026 !
Trois failles, trois stades d'urgence : l'une déjà activement exploitée, les deux autres rendues attaquables par la publication de détails techniques ou d'un exploit.
Retrouve les trois articles à la une du jour :
- Langflow expose une faille de sévérité élevée exploitable sans authentification
- Ivanti Sentry corrige deux failles permettant un accès root
- Un exploit zero-day contourne Microsoft Defender sur Windows
Langflow : une faille de sévérité élevée exploitée sans authentification
La CVE-2026-5027 (CVSS 8.8) permet l'exécution de code à distance sur la plateforme d'IA open-source Langflow via traversée de répertoires. L'endpoint POST /api/v2/files ne valide pas le paramètre filename, autorisant l'écriture de fichiers arbitraires.
Tenable a tenté de contacter les mainteneurs en janvier-février 2026 avant de divulguer la faille le 27 mars ; elle est aujourd'hui activement exploitée. Langflow désactivant l'authentification par défaut, une simple requête non authentifiée suffit à obtenir un token de session et exécuter du code malveillant.
Points d'attention
- Environ 7 000 instances Langflow exposées publiquement, principalement en Amérique du Nord, sans correctif disponible.
- Le groupe iranien MuddyWater a déjà exploité la
CVE-2025-34291dans Langflow cette année. - Langflow cumule au moins quatre autres vulnérabilités exploitées en 2026 :
CVE-2026-0770,CVE-2026-33017,CVE-2026-21445etCVE-2025-34291.
Ivanti Sentry : deux failles critiques permettent l'accès root
Ivanti a publié des correctifs pour deux vulnérabilités critiques affectant sa passerelle de sécurité Ivanti Sentry, utilisée pour contrôler l'accès des appareils mobiles aux systèmes internes des organisations.
La CVE-2026-10520 est une injection de commandes système permettant l'exécution de code à distance sans authentification au niveau root. La CVE-2026-10523 est un contournement d'authentification facilitant la création de comptes administrateur. Les détails techniques de la CVE-2026-10520 ont été publiés, augmentant le risque d'exploitation imminente.
Points d'attention
- Les versions
10.5.1,10.6.1,10.7.0et antérieures sont affectées ; passer à10.5.2,10.6.2ou10.7.1. - La
CVE-2026-10520provient d'une API interne acceptant les commandes sans vérification d'authentification préalable. - Aucune exploitation en conditions réelles à ce jour ; seule la faille antérieure
CVE-2023-38035avait été exploitée comme zero-day en 2023.
Un exploit zero-day Windows contourne les défenses système
Un chercheur en sécurité a publié RoguePlanet, un exploit zero-day ciblant Windows et exploitant une condition de concurrence dans Microsoft Defender pour obtenir un accès système complet.
L'exploit initial permettait l'exécution de code à distance en incitant les utilisateurs à ouvrir des fichiers .vhd(x) sur des serveurs SMB. Les correctifs de mai de Microsoft ont réduit les vecteurs d'attaque disponibles, ramenant l'exploit à une escalade de privilèges locale : l'attaquant doit déjà disposer d'un accès local. Il a été validé sur Windows 11 et Windows 10 avec les correctifs de juin 2026, mais ne fonctionne pas sur Windows Server.
Points d'attention
- RoguePlanet est le dernier d'une série de zero-days Windows divulgués par Nightmare Eclipse ces derniers mois (GreenPlasma, YellowKey, RedSun, UnDefend, BlueHammer), correspondant aux
CVE-2026-45586,CVE-2026-50507,CVE-2026-41091,CVE-2026-45498etCVE-2026-33825. - Nightmare Eclipse revendique l'exploit après avoir protesté contre le processus de divulgation de Microsoft.
- Microsoft a suspendu le compte GitHub du chercheur et brandi la menace de poursuites, avant de préciser ne pas viser la recherche en sécurité. Le chercheur affirme néanmoins avoir été visé par une action en justice.
Autres actus importantes
- Qui dirige le groupe de ransomware « The Gentlemen » ?
- ServiceNow corrige une vulnérabilité exploitée contre certains clients
- Nouvelle attaque de phishing « Browser-in-the-Browser » utilise de fausses fenêtres de connexion pour voler les identifiants Microsoft 365
- Le code source du ver « Miasma » a brièvement fuité sur GitHub
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere