Un certain nombre de vulnérabilités critiques affectant les produits d'**Adobe**, **Fortinet**, **Microsoft** et **SAP** ont pris le devant de la scène dans les versions du Patch Tuesday d'avril. ## Vulnérabilité d'injection SQL chez SAP En tête de liste se trouve une vulnérabilité d'injection SQL affectant **SAP Business Planning and Consolidation** et **SAP Business Warehouse** (**CVE-2026-27681**, score CVSS : 9.9) qui pourrait entraîner l'exécution de commandes arbitraires sur la base de données. "Le programme ABAP vulnérable permet à un utilisateur à faible privilège de télécharger un fichier contenant des instructions SQL arbitraires qui seront ensuite exécutées", a déclaré **Onapsis** dans un avis. Dans un scénario d'attaque potentiel, un acteur malveillant pourrait abuser de la fonctionnalité affectée liée au téléchargement pour exécuter des requêtes SQL malveillantes contre les magasins de données BW/BPC, extraire des données sensibles et supprimer ou corrompre le contenu de la base de données. **Pathlock** a indiqué que des chiffres de planification manipulés, des rapports erronés ou des données de consolidation supprimées peuvent saper les processus de clôture, les rapports de direction et la planification opérationnelle. Ils ont en outre averti que le problème crée une voie crédible pour le vol de données furtif et la perturbation manifeste des activités. ## Faille d'Adobe Acrobat Reader exploitée activement Une autre vulnérabilité de sécurité qui mérite d'être mentionnée est une exécution de code à distance de gravité critique dans **Adobe Acrobat Reader** (**CVE-2026-34621**, score CVSS : 8.6) qui fait l'objet d'exploits actifs dans la nature. Actuellement, les détails entourant l'exploitation sont rares, y compris l'étendue des utilisateurs affectés, l'identité des acteurs de la menace, leurs cibles et leurs motivations. ## Vulnérabilités d'Adobe ColdFusion Cinq failles critiques dans **ColdFusion** versions 2025 et 2023 ont également été corrigées par **Adobe**. Si elles sont exploitées avec succès, elles pourraient entraîner une exécution de code arbitraire, un déni de service applicatif, une lecture arbitraire du système de fichiers et un contournement des fonctionnalités de sécurité. Les vulnérabilités sont listées ci-dessous : * **CVE-2026-34619** (score CVSS : 7.7) - Une vulnérabilité de traversée de chemin entraînant un contournement des fonctionnalités de sécurité * **CVE-2026-27304** (score CVSS : 9.3) - Une vulnérabilité de validation d'entrée incorrecte entraînant une exécution de code arbitraire * **CVE-2026-27305** (score CVSS : 8.6) - Une vulnérabilité de traversée de chemin entraînant une lecture arbitraire du système de fichiers * **CVE-2026-27282** (score CVSS : 7.5) - Une vulnérabilité de validation d'entrée incorrecte entraînant un contournement des fonctionnalités de sécurité * **CVE-2026-27306** (score CVSS : 8.4) - Une vulnérabilité de validation d'entrée incorrecte entraînant une exécution de code arbitraire ## Vulnérabilités de Fortinet FortiSandbox Des correctifs ont également été publiés pour deux vulnérabilités critiques de **FortiSandbox** qui pourraient entraîner un contournement d'authentification et une exécution de code : * **CVE-2026-39813** (score CVSS : 9.1) - Une vulnérabilité de traversée de chemin dans l'API JRPC de **FortiSandbox** qui pourrait permettre à un attaquant non authentifié de contourner l'authentification via des requêtes HTTP spécialement conçues. (Corrigé dans les versions 4.4.9 et 5.0.6) * **CVE-2026-39808** (score CVSS : 9.1) - Une vulnérabilité d'injection de commandes système d'exploitation dans **FortiSandbox** qui pourrait permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisés via des requêtes HTTP conçues. (Corrigé dans la version 4.4.9) ## Publication étendue de correctifs par Microsoft **Microsoft** a corrigé un nombre impressionnant de 169 défauts de sécurité, dont une vulnérabilité d'usurpation affectant **Microsoft SharePoint Server** (**CVE-2026-32201**, score CVSS : 6.5) qui pourrait permettre à un attaquant de consulter des informations sensibles. La société a indiqué qu'elle faisait l'objet d'exploits actifs, bien qu'il n'y ait pas d'informations sur l'exploitation dans la nature associée à ce bug. Kev Breen, directeur principal de la recherche sur les menaces chez **Immersive**, a noté que les services **SharePoint**, en particulier ceux utilisés comme dépôts de documents internes, peuvent être une mine d'or pour les acteurs de la menace cherchant à voler des données, notamment des données qui pourraient être utilisées pour forcer des paiements de rançon par des techniques de double extorsion. Il a ajouté que les acteurs de la menace ayant accès aux services **SharePoint** pourraient déployer des documents оружиés ou remplacer des documents légitimes par des versions infectées pour se propager latéralement dans l'organisation. ## Correctifs logiciels d'autres fournisseurs En plus de **Microsoft**, des mises à jour de sécurité ont également été publiées par d'autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment — * [ABB](https://www.abb.com/global/en/company/about/cybersecurity/alerts-and-notifications) * [Amazon Web Services](https://aws.amazon.com/security/security-bulletins/) * [AMD](https://www.amd.com/en/resources/product-security.html#security) * [Apple](https://support.apple.com/en-us/HT201222) * [ASUS](https://www.asus.com/security-advisory/) * [AVEVA](https://www.aveva.com/en/support-and-success/cyber-security-updates/) * [Broadcom](https://support.broadcom.com/web/ecx/security-advisory) (y compris VMware) * [Canon](https://psirt.canon/advisory-information/#id_2229656) * [Cisco](https://tools.cisco.com/security/center/publicationListing.x) * [Citrix](https://support.citrix.com/support-home/topic-article-list?trendingCategory=20&trendingTopicName=Latest%20Security%20Bulletin) * [CODESYS](https://www.codesys.com/ecosystem/security/latest-codesys-security-advisories/) * [D-Link](https://supportannouncement.us.dlink.com/) * [Dassault Systèmes](https://www.3ds.com/trust-center/security/security-advisories) * [Dell](https://www.dell.com/support/security/) * [Devolutions](https://devolutions.net/security/advisories/) * [dormakaba](https://www.dormakabagroup.com/en/security-advisories) * [Drupal](https://www.drupal.org/security) * [Elastic](https://discuss.elastic.co/c/announcements/security-announcements/31) * [F5](https://my.f5.com/manage/s/new-updated-articles#f-f5_document_type=Security%20Advisory&aq=%40f5_original_published_date%20%3E%3D%20now-7d) * [Fortinet](https://www.fortiguard.com/psirt) * [Foxit Software](https://www.foxit.com/support/security-bulletins.html) * [FUJIFILM](https://www.fujifilm.com/fbglobal/eng/company/news/notice) * [Gigabyte](https://www.gigabyte.com/us/Support/Security) * [GitLab](https://docs.gitlab.com/releases/18/patch-release-gitlab-18-10-3-released/) * Google [Android](https://source.android.com/docs/security/bulletin/2026/2026-04-01) et [Pixel](https://source.android.com/docs/security/bulletin/pixel/2026/2026-04-01) * [Google Chrome](https://chromereleases.googleblog.com/) * [Google Cloud](https://cloud.google.com/support/bulletins) * [Grafana](https://grafana.com/security/security-advisories/) * [Hitachi Energy](https://www.hitachienergy.com/in/en/products-and-solutions/cybersecurity/alerts-and-notifications) * [HP](https://support.hp.com/us-en/security-bulletins) * [HP Enterprise](https://support.hpe.com/connect/s/securitybulletinlibrary?language=en_US#sort=%40hpescuniversaldate%20descending&layout=table&numberOfResults=25&f:@kmdoclanguagecode=[cv1871440]&hpe=1) (y compris Aruba Networking et [Juniper Networks](https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=date%20descending&f:ctype=[Security%20Advisories])) * [Huawei](https://www.huawei.com/en/psirt/all-bulletins) * [IBM](https://www.ibm.com/support/pages/bulletin/) * [Ivanti](https://hub.ivanti.com/s/searchallcontent?language=en_US#q=CVE&sortCriteria=date%20descending&f-sfkbknowledgearticletypec=Security%20Advisory&f-commonlanguage=English) * [Jenkins](https://www.jenkins.io/security/advisories/) * [Lenovo](https://support.lenovo.com/us/en/product_security/ps500001-lenovo-product-security-advisories) * Distributions Linux