### CISA signale des failles critiques nécessitant une action immédiate La **CISA** a récemment mis à jour son catalogue **KEV**, signalant l'exploitation active de trois vulnérabilités importantes. Cela oblige les agences fédérales à mettre en œuvre rapidement des correctifs ou des mesures d'atténuation, soulignant la menace immédiate que ces failles représentent pour l'infrastructure de cybersécurité. Voici un aperçu des vulnérabilités ajoutées : * **CVE-2026-20245** (score CVSS : 7.8) : Une vulnérabilité d'encodage ou d'échappement incorrect dans **Cisco Catalyst SD-WAN Manager**. Cette faille pourrait permettre à un attaquant local authentifié d'exécuter des commandes arbitraires en tant que root en fournissant un fichier spécialement conçu au système. * **CVE-2026-11645** (score CVSS : 8.8) : Une vulnérabilité de lecture et d'écriture hors limites dans **Google Chrome V8**. Cette faille critique pourrait permettre à un attaquant distant d'exécuter du code arbitraire dans un sandbox via une page HTML spécialement conçue. * **CVE-2026-7473** (score CVSS : 6.9) : Une vulnérabilité de comparaison incomplète avec des facteurs manquants dans le **système d'exploitation extensible Arista (EOS)**. Cela pourrait entraîner le traitement de trafic de tunnel non configuré. ### Faille Arista EOS : exploitée mais aucun correctif prévu La vulnérabilité **Arista EOS**, **CVE-2026-7473**, présente un défi unique. **Arista** a confirmé que cette faille est activement exploitée sur le terrain. Le problème survient sur les plateformes affectées exécutant **Arista EOS** où une configuration de décapsulation de tunnel (telle que **VXLAN**, des groupes de décapsulation ou une interface de tunnel **GRE**) est présente. Le commutateur peut décapsuler et transférer de manière incorrecte des paquets tunnellisés inattendus si leur adresse IP de destination correspond à son adresse IP de décapsulation configurée, sans vérifier le type de protocole du tunnel. Les produits concernés incluent les séries 7020R, 7280R/R2 et 7500R/R2. L'exploitation nécessite que le périphérique soit configuré comme point d'extrémité de tunnel avec une adresse IP de décapsulation. Malgré l'exploitation active, **Arista** a déclaré qu'aucun correctif n'est prévu pour **CVE-2026-7473**. L'entreprise cite le risque de casser les configurations existantes dans les déploiements comme raison. Au lieu de cela, **Arista** a fourni des stratégies d'atténuation, axées sur l'application de **Listes de Contrôle d'Accès (ACL)** sur les périphériques en amont ou sur les périphériques où la décapsulation inattendue se produit. L'objectif est de permettre sélectivement le trafic de tunnel légitime ou de bloquer le trafic de tunnel malveillant. **Scott Christiansen, Lukas Peitz, Rich Compton et Jonathan Davis de Comcast** ont été crédités pour la divulgation responsable de cette vulnérabilité. ### Échéance urgente pour les agences fédérales Les agences du **Ramo Exécutif Civil Fédéral (FCEB)** ont reçu l'ordre d'appliquer les correctifs ou les mesures d'atténuation nécessaires pour les trois vulnérabilités avant le 23 juin 2026. Cette directive souligne l'urgence pour les professionnels de la sécurité informatique et les utilisateurs soucieux de leur vie privée d'évaluer leurs systèmes et de mettre en œuvre les mesures de protection recommandées pour se prémunir contre ces menaces activement exploitées.