### Faille dans Ivanti Xtraction **Ivanti** a corrigé une faille critique dans **Ivanti Xtraction** (**CVE-2026-8043**, score CVSS : 9.6). Cette vulnérabilité pourrait être exploitée pour divulguer des informations ou mener des attaques côté client. Selon **Ivanti**, « le contrôle externe d'un nom de fichier dans Ivanti Xtraction avant la version 2026.2 permet à un attaquant distant authentifié de lire des fichiers sensibles et d'écrire des fichiers HTML arbitraires dans un répertoire web, entraînant une divulgation d'informations et d'éventuelles attaques côté client. » ### Vulnérabilités Fortinet **Fortinet** a publié des avis de sécurité pour deux vulnérabilités critiques affectant **FortiAuthenticator** et **FortiSandbox**, **FortiSandbox Cloud**, et **FortiSandbox PaaS** qui pourraient entraîner une exécution de code : * **CVE-2026-44277** (score CVSS : 9.1) : Une vulnérabilité de contrôle d'accès inapproprié dans **FortiAuthenticator** qui peut permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisés via des requêtes spécialement conçues. Ceci est corrigé dans les versions 6.5.7, 6.6.9 et 8.0.3 de FortiAuthenticator. * **CVE-2026-26083** (score CVSS : 9.1) : Une vulnérabilité d'autorisation manquante dans l'interface Web de **FortiSandbox**, **FortiSandbox Cloud** et **FortiSandbox PaaS** qui peut permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisés via des requêtes HTTP. Ceci est corrigé dans les versions 4.4.9 et 5.0.2 de FortiSandbox, la version 5.0.6 de FortiSandbox Cloud et les versions 4.4.9 et 5.0.2 de FortiSandbox PaaS. ### Correctifs de sécurité SAP **SAP** a publié des correctifs pour deux vulnérabilités critiques : * **CVE-2026-34260** (score CVSS : 9.6) : Une vulnérabilité d'injection SQL dans **SAP S/4HANA**. * **CVE-2026-34263** (score CVSS : 9.6) : Une vérification d'authentification manquante dans la configuration du cloud **SAP Commerce**. **Onapsis** a déclaré que **CVE-2026-34263** est causée par « une configuration de sécurité trop permissive avec un ordre de règles inapproprié, permettant à un utilisateur non authentifié d'effectuer un téléchargement de configuration malveillant et une injection de code, résultant en une exécution de code arbitraire côté serveur. » Concernant **CVE-2026-34260**, un attaquant pourrait injecter des instructions SQL malveillantes, impactant potentiellement la confidentialité et la disponibilité de l'application. **Pathlock** a noté : « Elle permet à un attaquant authentifié à faible privilège d'injecter du code SQL malveillant via une entrée contrôlée par l'utilisateur, exposant potentiellement des informations sensibles de la base de données et faisant planter l'application. » ### Escalade de privilèges dans VMware Fusion **Broadcom** a publié des correctifs pour une faille de haute gravité dans **VMware Fusion** (**CVE-2026-41702**, score CVSS : 7.8) qui pourrait entraîner une escalade de privilèges locale. Le problème a été corrigé dans la version 26H1. Selon **Broadcom**, « VMware Fusion contient une vulnérabilité TOCTOU (Time-of-check Time-of-use) qui survient lors d'une opération effectuée par un binaire SETUID. Un acteur malveillant disposant de privilèges d'utilisateur local non administratifs peut exploiter cette vulnérabilité pour élever ses privilèges jusqu'à root sur le système où Fusion est installé. » ### Multiples vulnérabilités dans n8n Un ensemble de cinq vulnérabilités critiques affectant **n8n** ont été corrigées : * **CVE-2026-42231** (score CVSS : 9.4) : Une vulnérabilité dans la bibliothèque xml2js utilisée pour analyser les corps de requêtes XML dans le gestionnaire de webhook de n8n qui permet la pollution de prototype via un payload XML spécialement conçu, permettant à un utilisateur authentifié ayant la permission de créer ou modifier des workflows d'obtenir une exécution de code à distance sur l'hôte n8n. (Corrigé dans les versions 1.123.32, 2.17.4 et 2.18.1 de n8n) * **CVE-2026-42232** (score CVSS : 9.4) : Un utilisateur authentifié ayant la permission de créer ou modifier des workflows pourrait obtenir une pollution de prototype globale via le nœud XML, conduisant à une exécution de code à distance lorsqu'elle est combinée avec d'autres nœuds exploitant la pollution de prototype. (Corrigé dans les versions 1.123.32, 2.17.4 et 2.18.1 de n8n) * **CVE-2026-44791** (score CVSS : 9.4) : Un contournement de CVE-2026-42232 qui pourrait entraîner une exécution de code à distance sur l'hôte n8n. (Corrigé dans les versions 1.123.43, 2.20.7 et 2.22.1 de n8n) * **CVE-2026-44789** (score CVSS : 9.4) : Un utilisateur authentifié ayant la permission de créer ou modifier des workflows pourrait obtenir une pollution de prototype globale via un paramètre de pagination non validé dans le nœud HTTP Request, conduisant à une exécution de code à distance sur l'hôte n8n. (Corrigé dans les versions 1.123.43, 2.20.7 et 2.22.1 de n8n) * **CVE-2026-44790** (score CVSS : 9.4) : Un utilisateur authentifié ayant la permission de créer ou modifier des workflows pourrait injecter des indicateurs CLI sur l'opération Push du nœud Git, permettant à un attaquant de lire des fichiers arbitraires du serveur n8n et entraînant une compromission complète. (Corrigé dans les versions 1.123.43, 2.20.7 et 2.22.1 de n8n) ### Correctifs logiciels d'autres fournisseurs Des mises à jour de sécurité ont également été publiées par d'autres fournisseurs au cours des dernières semaines, notamment : * [ABB](https://www.abb.com/global/en/company/about/cybersecurity/alerts-and-notifications) * [Adobe](https://helpx.adobe.com/security/security-bulletin.html) * [Amazon Web Services](https://aws.amazon.com/security/security-bulletins/) * [AMD](https://www.amd.com/en/resources/product-security.html#security) * [Apple](https://support.apple.com/en-us/HT201222) * [ASUS](https://www.asus.com/security-advisory/) * [Atlassian](https://confluence.atlassian.com/security/security-bulletin-april-21-2026-1770913890.html) * [Axis Communications](https://help.axis.com/en-us/security-advisories) * [AVEVA](https://www.aveva.com/en/support-and-success/cyber-security-updates/) * [Canon](https://psirt.canon/advisory-information/#id_2229656) * [Cisco](https://tools.cisco.com/security/center/publicationListing.x) * [CODESYS](https://www.codesys.com/ecosystem/security/latest-codesys-security-advisories/) * [ConnectWise](https://www.connectwise.com/company/trust/security-bulletins) * [Dell](https://www.dell.com/support/security/) * [Devolutions](https://devolutions.net/security/advisories/) * [Drupal](https://www.drupal.org/security) * [F5](https://my.f5.com/manage/s/new-updated-articles#f-f5_document_type=Security%20Advisory&aq=%40f5_original_published_date%20%3E%3D%20now-7d) * [Fortra](https://www.fortra.com/security/advisories/product-security) * [Foxit Software](https://www.foxit.com/support/security-bulletins.html) * [Fujitsu](https://security.ts.fujitsu.com/IndexProdSecurity.asp) * [GitLab](https://docs.gitlab.com/releases/patches/) * [GnuTLS](https://www.gnutls.org/security-new.html) * Google [Android](https://source.android.com/docs/security/bulletin/2026/2026-05-01) et [Pixel](https://source.android.com/docs/security/bulletin/pixel/2026/2026-05-01) * [Google Chrome](https://chromereleases.googleblog.com/) * [Google Cloud](https://cloud.google.com/support/bulletins) * [Grafana](https://grafana.com/security/security-advisories/) * [Hikvision](https://www.hikvision.com/en/support/cybersecurity/security-advisory/) * [Hitachi Energy](https://www.hitachienergy.com/in/en/products-and-solutions/cybersecurity/alerts-and-notifications) * [Honeywell](https://www.honeywell.com/us/en/product-security#security-notices) * [HP](https://support.hp.com/us-en/security-bulletins) * [HPE](https://support.hpe.com/connect/s/security)