Splunk sous exploitation active 🚨, Gravity SMTP expose les données 🔓, Oracle corrige 245 failles 🛠️

3 minutes de lecture

Bonjour, voici ta veille Cybere du 20 juin 2026 !

Les vulnérabilités non authentifiées dominent l'actualité, exposant données et infrastructures à des attaques ciblées.

Retrouve les trois articles à la une du jour :

  • Splunk Enterprise exploité via PostgreSQL permet l'exécution de code arbitraire
  • Gravity SMTP expose des clés API et tokens via endpoint REST non sécurisé
  • Oracle corrige 245 failles dont une critique exploitée dans PeopleSoft

Splunk Enterprise sous exploitation active : RCE critique non authentifiée

La CVE-2026-20253, faille critique de Splunk Enterprise déjà évoquée dans la newsletter du 14 juin, est désormais confirmée en exploitation active par Splunk et Resecurity, et inscrite au catalogue KEV de la CISA. Le risque d'attaques opportunistes que nous signalions alors s'est concrétisé.

Pour rappel, la faille réside dans le service sidecar PostgreSQL, dépourvu de contrôle d'authentification, ce qui permet à un attaquant non authentifié de créer ou tronquer des fichiers arbitraires et, in fine, d'exécuter du code à distance. Une compromission donne accès aux données de sécurité et aux identifiants stockés. La CISA impose aux agences fédérales une mise en conformité d'ici le 21 juin.

Points d'attention

  • Versions affectées : Enterprise 10.2 antérieur à 10.2.4 et 10 antérieur à 10.0.7. Correctifs disponibles depuis le 10 juin (10.4.0, 10.2.4 ou 10.0.7).
  • watchTowr a publié un exploit neutralisé et un template Nuclei permettant de tester si un déploiement est vulnérable.
  • La désactivation du service PostgreSQL sidecar neutralise la faille, au prix d'une perte fonctionnelle.

→ Lire la source


Une faille dans Gravity SMTP expose des milliers de sites WordPress

Des acteurs malveillants exploitent activement la CVE-2026-4020, une vulnérabilité de divulgation d’informations sans authentification affectant 100 000 sites WordPress utilisant le plugin Gravity SMTP version 2.1.4 ou antérieure.

La faille expose via un endpoint REST mal sécurisé des données sensibles : clés API, tokens OAuth, identifiants de services email tiers, configuration WordPress complète et détails serveur. Bien que classée de sévérité moyenne, elle est activement exploitée alors que le correctif (version 2.1.5) est disponible depuis le 17 mars. Wordfence a bloqué plus de 17 millions de tentatives d’exploitation, avec un pic le 7 juin.

Points d'attention

  • Les données exposées permettent aux attaquants d’usurper les services email du site et de planifier des attaques ultérieures.
  • L’endpoint vulnérable se détecte dans les logs via les requêtes à “/wp-json/gravitysmtp/v1/tests/mock-data”, surtout avec le paramètre “?page=gravitysmtp-settings”.
  • La CVE-2026-8713, faille critique du plugin Avada Builder (1 million de sites), permet la suppression de fichiers pouvant mener à une prise de contrôle complète, et reste non exploitée pour l’instant.

→ Lire la source


Oracle corrige 245 failles, une critique en exploitation active

Oracle a publié 245 correctifs via son programme mensuel CSPU le 16 juin, dont la CVE-2026-35273 affectant PeopleSoft, qui était à la une de la newsletter du 12 juin. Cette faille critique d’exécution de code à distance, déjà corrigée hors-cycle par Oracle vu son exploitation active, est exploitée en conditions réelles, ShinyHunters revendiquant les attaques.

Fusion Middleware concentre 106 des correctifs publiés, dont 53 accessibles à distance sans authentification. WebLogic Server et Coherence présentent des failles CVSS 10.0, exploitables sans identifiants, ciblant des composants critiques des architectures d'entreprise depuis plusieurs années. Selon les analystes, les failles les plus dangereuses ne sont pas celles au score le plus élevé, mais celles qui cumulent accès distant, absence d'authentification et position dans une couche de confiance.

Points d'attention

  • La CVE-2026-35273 dans PeopleSoft requiert une correction immédiate. Exploitation revendiquée par ShinyHunters sur des systèmes RH, financiers et étudiants sensibles.
  • Une partie des produits Fusion Middleware arrive en fin de support d'ici fin d'année (extension payante possible jusqu'en décembre 2027), compliquant l'application des correctifs sur des environnements fortement personnalisés.
  • WebLogic Server demeure une cible historique de rançongiciels. L'accès non authentifié recherché par ces campagnes est précisément ce qu'ouvrent ces failles.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere