Nouvelles vulnérabilités critiques ajoutées au catalogue KEV de la CISA

La CISA a récemment intégré trois vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities (KEV), imposant aux agences fédérales américaines une correction ou une atténuation avant le 23 juin 2026.

Points clés :

• Trois failles distinctes affectant Cisco, Google Chrome et Arista sont concernées.
• Le cas d’Arista est notable, car l’entreprise a confirmé l’exploitation de sa vulnérabilité mais a annoncé qu’aucun correctif ne serait déployé pour éviter de perturber les configurations existantes.

Vulnérabilités identifiées :

• CVE-2026-20245 (Cisco Catalyst SD-WAN Manager) : Défaut d’encodage/échappement permettant à un attaquant local authentifié d’exécuter des commandes arbitraires avec les privilèges root (Score CVSS : 7.8).
• CVE-2026-11645 (Google Chrome V8) : Vulnérabilité de lecture/écriture hors limites permettant l’exécution de code arbitraire à distance via une page HTML malveillante (Score CVSS : 8.8).
• CVE-2026-7473 (Arista EOS) : Incohérence dans la vérification du protocole de tunnel, entraînant le traitement inapproprié de trafic non configuré (Score CVSS : 6.9).

Recommandations :

• Cisco et Chrome : Appliquer immédiatement les mises à jour de sécurité fournies par les constructeurs.
• Arista EOS : En l’absence de correctif logiciel, il est impératif d’appliquer des listes de contrôle d’accès (ACL) sur les équipements en amont ou sur les périphériques affectés. Ces ACL doivent être configurées pour filtrer strictement le trafic tunnel autorisé et bloquer les paquets malveillants ou non attendus.

Source