Les chercheurs ont ciblé des produits entièrement patchés dans un large éventail de catégories, notamment les navigateurs web, les applications d'entreprise, l'escalade de privilèges locaux, les serveurs, l'inférence locale, les environnements cloud-native/conteneur, la virtualisation et les grands modèles linguistiques (LLM). ### Répartition des gains La compétition s'est déroulée sur trois jours, avec des gains significatifs attribués chaque jour : * Jour 1 : 523 000 $ pour 24 zero-days uniques. * Jour 2 : 385 750 $ pour 15 zero-days. * Jour 3 : 389 500 $ pour 8 zero-days. ### Meilleurs Performeurs **DEVCORE** s'est imposé comme le vainqueur du **Pwn2Own Berlin** de cette année, accumulant 50,5 points Master of Pwn et un montant substantiel de 505 000 $ en récompenses. Leur succès est dû à l'exploitation de vulnérabilités dans **Microsoft SharePoint**, **Microsoft Exchange**, **Microsoft Edge** et **Windows 11**. **STARLabs SG** a suivi avec 242 500 $ (25 points), et **Out Of Bounds** a décroché la troisième place avec 95 750 $ (12,75 points).  *Classement Pwn2Own Berlin 2026* ### Exploits Notables La récompense individuelle la plus élevée, d'un montant de 200 000 $, a été attribuée à **Cheng-Da Tsai** (également connu sous le nom de **Orange Tsai**) de l'équipe de recherche **DEVCORE** pour avoir enchaîné trois bugs afin d'obtenir une exécution de code à distance avec des privilèges SYSTEM sur **Microsoft Exchange**. Le premier jour, **Orange Tsai** a également gagné 175 000 $ pour une évasion de sandbox **Microsoft Edge** utilisant quatre bugs logiques. De plus, **Valentina Palmiotti** (chompie) d'**IBM X-Force** Offensive Research a collecté 70 000 $ pour avoir obtenu les privilèges root sur **Red Hat Linux** for Workstations et exploité un zero-day du **NVIDIA** Container Toolkit. D'autres exploits comprenaient une escalade de privilèges locaux sous **Windows 11**, une escalade de privilèges root dans **Red Hat Enterprise Linux** for Workstations, et des zero-days dans plusieurs agents de codage IA. Un bug de corruption de mémoire a également été utilisé pour exploiter **VMware ESXi**. ### Calendrier de Divulgation Suite à **Pwn2Own**, les fournisseurs disposent d'une période de 90 jours pour développer et publier des correctifs de sécurité. Après cette période, **Zero Day Initiative (ZDI)** de **TrendMicro** divulguera publiquement les détails des vulnérabilités. L'année dernière, **Pwn2Own Berlin** avait vu **STAR Labs SG** remporter la victoire, **ZDI** ayant attribué 1 078 750 $ pour 29 failles zero-day et quelques collisions de bugs. [article image](https://www.bleepstatic.com/c/p/validation-gap.jpg) ## Le fossé de la validation : le pentesting automatisé répond à une question. Vous en avez besoin de six. Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)