SonicWall sous attaque 🚨, SAP : trois failles critiques 🔐, Cursor exécute du code malveillant 💻

3 minutes de lecture

Bonjour, voici ta veille Cybere du 15 juillet 2026 !

Appliances en périphérie de réseau, progiciels d'entreprise, outils de développement : les briques sur lesquelles reposent les organisations concentrent les failles du jour. Entre exploitation en zero-day et correctif attendu depuis sept mois, tout se joue dans le délai de réaction des éditeurs.

Retrouve les trois articles à la une du jour :

  • Les appliances SonicWall SMA1000 subissent des attaques exploitant deux zero-days
  • SAP corrige trois vulnérabilités critiques dans NetWeaver et d'autres produits
  • Cursor IDE exécute du code malveillant depuis des dépôts Git

SonicWall SMA1000 : deux zero-days exploitées, dont une critique

SonicWall a confirmé l'exploitation active de deux zero-days dans ses appliances SMA1000, après investigation de plusieurs incidents par son PSIRT.

La CVE-2026-15409 (CVSS 10.0) est une faille critique de type SSRF permettant à un attaquant non authentifié de forcer l'appliance à effectuer des requêtes vers des emplacements non désirés. La CVE-2026-15410 (CVSS 7.2), de sévérité élevée, est une injection de code post-authentification dans la console de gestion, exploitable par un administrateur distant pour exécuter des commandes système arbitraires. SonicWall a assigné un score CVSS global de 10.0 à l'avis de sécurité, sans préciser si les attaquants enchaînent les deux failles.

Points d'attention

  • Les modèles 6210, 7210 et 8200v sont affectés, mais ni le SSL-VPN des pare-feu SonicWall ni la gamme SMA 100 ne le sont. Des correctifs sont disponibles en versions 12.4.3-03453 et 12.5.0-02835 ou ultérieures.
  • La CISA a ajouté les deux CVE à son catalogue des vulnérabilités exploitées activement. Les agences fédérales ont jusqu'au 17 juillet 2026 pour sécuriser les systèmes.
  • Aucun contournement n'existe. En cas de compromission, SonicWall recommande de réinstaller l'appliance, de changer tous les mots de passe et de réinitialiser les jetons TOTP.

→ Lire la source


SAP corrige trois failles critiques dans ses produits

SAP a publié des correctifs pour trois vulnérabilités de sévérité critique affectant NetWeaver, Approuter et Commerce Cloud.

La faille la plus grave, la CVE-2026-44747 (CVSS 9.9), est une erreur d'écriture hors limites dans SAP NetWeaver Application Server ABAP. Un attaquant authentifié peut exploiter des défauts logiques de gestion mémoire pour corrompre la mémoire, ce qui risque de compromettre l'accès aux données, leur modification ou l'indisponibilité du système. Onapsis recommande d'installer le correctif du noyau ABAP plutôt que de recourir au contournement temporaire proposé, qui désactiverait les transactions SAP GUI pour HTML.

Points d'attention

  • La CVE-2026-27690 (CVSS 9.1) affecte SAP Approuter en environnements non Cloud Foundry via une désynchronisation de requêtes/réponses HTTP exploitable sans authentification, exposant les réponses destinées à d'autres utilisateurs et permettant un déni de service.
  • La CVE-2026-44761 (CVSS 9.1) ne touche que les installations Commerce Cloud ayant conservé en production le client OAuth 2.0 d'exemple documenté par SAP, sans en remplacer le secret : il est recommandé d'auditer les environnements et de supprimer ce client.
  • Aucune exploitation en conditions réelles n'a été documentée pour ces vulnérabilités.

→ Lire la source


Cursor IDE exécute automatiquement du code malveillant depuis des dépôts

Mindgard a découvert qu'un attaquant peut placer un fichier git.exe malveillant à la racine d'un dépôt et qu'il s'exécutera automatiquement lorsqu'un développeur ouvrira le projet dans Cursor, sans notification ni approbation.

La vulnérabilité provient de la façon dont Cursor recherche les binaires Git lors du chargement d'un projet. L'IDE inclut le répertoire du dépôt parmi les emplacements de recherche et y exécute le git.exe présent sans vérifier s'il est malveillant. Pour le démontrer, Mindgard a simplement renommé la calculatrice Windows en git.exe : ouvrir Cursor sur ce dépôt suffisait à la lancer. Le problème a été signalé à Cursor en décembre dernier et plusieurs fois depuis, mais la faille persiste dans les dernières versions testées.

Points d'attention

  • Mindgard privilégie la divulgation coordonnée et a tenté de joindre Cursor par courriel, LinkedIn et son programme HackerOne, sans jamais voir son rapport accepté ni traité. L'entreprise a publié après sept mois de silence. Un porte-parole a répondu le 13 juillet que le problème était en cours de traitement.
  • Un attaquant peut publier un dépôt contaminé contenant un rançongiciel ou un cheval de Troie d'accès à distance renommé en git.exe, qui s'exécutera avec les privilèges du développeur.
  • En attendant un correctif, Mindgard recommande de n'ouvrir les dépôts non fiables que dans une machine virtuelle isolée ou un environnement jetable, sans se fier aux listes de blocage par empreinte. Les administrateurs Windows peuvent restreindre l'exécution via AppLocker ou Windows App Control.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere