Retour à l'accueil

Principales CVE mars 2026 : RCE dans Cisco et Langflow

Aperçu des CVE critiques mars 2026 : désérialisation dans Cisco FMC (CVSS 10), RCE dans Langflow et zero-day Chrome, compromission Trivy. Exploitation active, KEV CISA, étapes d'atténuation pour intermédiaires/seniors.

🚨 CVE critiques mars 2026 : des RCE Cisco aux attaques Trivy
Advertisement 728x90

# CVEs critiques de mars 2026 : Cisco à Trivy, attaques sur la chaîne d'approvisionnement

Mars 2026 a vu une explosion d'exploits de vulnérabilités, les attaquants frappant en quelques heures après leur divulgation. Les cibles incluent les plateformes d'IA et les chaînes d'approvisionnement. Voici un aperçu des principales CVEs notées CVSS 8.7+ avec une activité confirmée dans le monde réel.

Failles de désérialisation dans Cisco Secure Firewall Management Center

CVE-2026-20131 (CVSS 10.0 CRITIQUE)

Une faille dans l'interface web de Cisco FMC permet aux attaquants de désérialiser des objets Java malveillants sans authentification. Elle touche toutes les versions, y compris Cisco Security Cloud Control. Le groupe Interlock a exploité cette zero-day dès le 26 janvier 2026 ; CISA l'a ajoutée à sa liste KEV avec une échéance au 22 mars.

Google AdInline article slot

Exploitation : Une requête POST avec un objet sérialisé déclenche une exécution de code à distance (RCE) au niveau root.

Impacts :

  • Altération de la configuration du pare-feu.
  • Interception de trafic et vol de données.
  • Point d'entrée pour ransomwares.

Mesures de mitigation :

Google AdInline article slot
  • Appliquez le correctif FMC immédiatement.
  • Isolez l'interface de gestion derrière un Zero Trust.
  • Auditez les logs pour les charges de désérialisation (utilisez les IoCs AWS).

RCE sans authentification dans Langflow

CVE-2026-33017 (CVSS 9.3 CRITIQUE)

Cette plateforme visuelle d'agents IA (plus de 145 000 étoiles sur GitHub) présente une vulnérabilité dans l'endpoint /api/v1/build_public_tmp/{flow_id}/flow. Du code Python issu de charges JSON s'exécute via exec() sans sandbox. Affecte les versions ≤1.8.2. Sysdig a repéré des exploits seulement 20 heures après le bulletin du 17 mars.

Exploitation : Un simple POST avec du code malveillant dans les définitions de nœuds.

Google AdInline article slot

Impacts :

  • RCE avec privilèges du processus.
  • Vol de secrets (clés API OpenAI, mots de passe DB, SSH).
  • Attaques sur les pipelines ML intégrés.

Mesures de mitigation :

  • Passez à la version 1.9.0+ (1.8.2 reste vulnérable selon JFrog).
  • Rotatez tous les secrets d'environnement.
  • Ajoutez une authentification FW/proxy pour Langflow.
  • Surveillez les POST vers /api/v1/ et le trafic sortant.

Zero-days Chrome : vulnérabilités Skia et V8

CVE-2026-3909 (CVSS 8.7 ÉLEVÉ) — écriture hors limites dans Skia (rendu 2D).

CVE-2026-3910 (CVSS 8.7 ÉLEVÉ) — confusion de types dans V8 (JS/WebAssembly).

Google a confirmé une exploitation active le 10 mars ; échéance CISA KEV au 27 mars. Troisième zero-day Chrome de 2026.

Exploitation : Page HTML/JS malveillante (watering hole ou malvertising).

Impacts :

  • Exécution de code dans le processus renderer : vol de cookies et sessions.
  • Risque pour Chrome headless en CI/CD.
  • Élévation nécessite une évasion de sandbox.

Mesures de mitigation :

  • Mettez à jour vers Chrome 146.0.7680.75+.
  • Corrigez les navigateurs basés sur Chromium (Edge, Brave).
  • Inventoriez les instances headless.
  • Activez les mises à jour automatiques.

Compromission de la chaîne d'approvisionnement Aqua Trivy

CVE-2026-33634 (CVSS 9.4 CRITIQUE)

Le 19 mars, TeamPCP a compromis un compte développeur et a forcé la publication de tags malveillants sur l'action GitHub trivy-action. Elle vole les secrets CI/CD (tokens, SSH, identifiants cloud). Affecte les images Docker et PyPI LiteLLM.

Exploitation : L'action exfiltre les secrets d'environnement à l'exécution.

Impacts :

  • Accès aux identifiants AWS/GCP/Azure.
  • Images Trivy malveillantes sur Docker Hub.
  • Effets en cascade sur les bibliothèques LLM.

Mesures de mitigation :

  • Auditez les exécutions CI/CD après le 19 mars.
  • Rotatez tous les secrets.
  • Vérifiez les images Trivy.
  • Épinglez les actions GitHub par SHA.

Patch Tuesday Microsoft : AI-XSS et RCE Office

79 CVEs corrigées, 8 critiques. Les plus marquantes :

CVE-2026-26144 (CVSS 8.7 ÉLEVÉ) — XSS dans Excel Copilot Agent pour exfiltration discrète de données.

Exploitation : Fichier XLSX malveillant déclenche l'envoi de données par Copilot.

CVE-2026-26110/26113 (CVSS 8.6 ÉLEVÉ) — RCE Office via pointeur invalide/confusion de types.

Nginx UI et plus

Nginx UI : Sauvegardes sans authentification (risque RCE).

Grafana : Injection SQL menant à RCE via expressions SQL.

GNU InetUtils telnetd : Débordement de tampon.

Android : Zero-day Qualcomm.

Points clés

  • Exploits record : 20 heures pour Langflow, sans PoC public.
  • Chaînes d'approvisionnement visées : Trivy, LiteLLM.
  • Attaques ciblant l'IA : exec() Langflow, XSS Excel Copilot.
  • Priorités CISA KEV : Cisco, Chrome — corrigez maintenant.
  • Chrome headless en CI/CD : risque négligé.

— Editorial Team

Advertisement 728x90

Lire ensuite