L’agence américaine de cybersécurité et de sécurité des infrastructures
(CISA)
a ajouté lundi huit nouvelles vulnérabilités à son catalogue des
Known Exploited Vulnerabilities (KEV),
dont trois failles affectant Cisco Catalyst SD-WAN Manager, en citant des preuves d’exploitation active.

La liste des vulnérabilités est la suivante :

• CVE-2023-27351 (score CVSS : 8,2) – Une vulnérabilité
  d’authentification incorrecte dans PaperCut NG/MF qui pourrait permettre à un attaquant
  de contourner l’authentification sur les installations affectées via la classe SecurityRequestFilter.
• CVE-2024-27199 (score CVSS : 7,3) – Une vulnérabilité de traversée
  de chemin relatif dans JetBrains TeamCity qui pourrait permettre à un attaquant
  d’effectuer des actions d’administration limitées.
• CVE-2025-2749 (score CVSS : 7,2) – Une vulnérabilité de traversée
  de chemin dans Kentico Xperience
  qui pourrait permettre au serveur de synchronisation de préproduction d’un utilisateur
  authentifié de télécharger des données arbitraires vers des emplacements relatifs au chemin.
• CVE-2025-32975 (score CVSS : 10,0) – Une vulnérabilité
  d’authentification incorrecte dans Quest KACE Systems Management Appliance (SMA)
  qui pourrait permettre à un attaquant d’usurper l’identité d’utilisateurs légitimes
  sans informations d’identification valides.
• CVE-2025-48700 (score CVSS : 6,1) – Une vulnérabilité de script
  intersite dans Synacor Zimbra Collaboration Suite (ZCS) qui pourrait permettre à un attaquant
  d’exécuter du JavaScript arbitraire dans la session de l’utilisateur, entraînant un accès
  non autorisé à des informations sensibles.
• CVE-2026-20122 (score CVSS : 5,4) – Une vulnérabilité d’utilisation
  incorrecte des API privilégiées dans Cisco Catalyst SD-WAN Manager qui pourrait permettre
  à un attaquant de télécharger et d’écraser des fichiers arbitraires sur le système affecté
  et d’obtenir les privilèges de l’utilisateur vmanage.
• CVE-2026-20128 (score CVSS : 7,5) – Une vulnérabilité de stockage
  des mots de passe dans un format récupérable dans Cisco Catalyst SD-WAN Manager qui pourrait
  permettre à un attaquant local authentifié d’obtenir les privilèges d’utilisateur DCA
  en accédant à un fichier d’informations d’identification de l’utilisateur DCA sur le système
  de fichiers en tant qu’utilisateur à faible privilège.
• CVE-2026-20133 (score CVSS : 6,5) – Une vulnérabilité d’exposition
  d’informations sensibles à un acteur non autorisé dans Cisco Catalyst SD-WAN Manager
  qui pourrait permettre à des attaquants distants de consulter des informations sensibles
  sur les systèmes affectés.

Il convient de noter que la CISA a ajouté
CVE-2024-27198,
une autre faille affectant les versions sur site de JetBrains TeamCity, au catalogue KEV en mars 2024.
On ne sait pas à ce stade si les deux vulnérabilités sont exploitées ensemble et si l’activité
est l’œuvre du même acteur malveillant.

L’exploitation de la CVE-2023-27351, en revanche, a été
attribuée
à Lace Tempest en avril 2023, en lien avec des attaques distribuant les familles de ransomwares
Cl0p et LockBit.

En ce qui concerne la
CVE-2025-32975,
Arctic Wolf a déclaré avoir observé, à la fin du mois dernier, des acteurs malveillants inconnus
utilisant cette faille pour cibler des systèmes SMA non corrigés, bien que les objectifs finaux
exacts de la campagne restent inconnus.

Cisco, de son côté, a également déclaré
avoir pris connaissance
de l’exploitation des vulnérabilités CVE-2026-20122 et
CVE-2026-20128 en mars 2026. L’entreprise n’a pas encore
mis à jour son avis
pour tenir compte de l’exploitation avérée de la vulnérabilité CVE-2026-20133.

Compte tenu de l’exploitation active de ces vulnérabilités, il a été recommandé aux agences
du pouvoir exécutif civil fédéral (FCEB) de corriger les trois vulnérabilités de Cisco d’ici
le 23 avril 2026 et les autres d’ici le 4 mai 2026.