La découverte de l’IA déclenche le flot de Zero Days et d’autres CVE, les entreprises devraient donc se préparer à des Patch Tuesdays plus importants à l’avenir.
Les mises à jour de sécurité du Patch Tuesday de juin sont arrivées, SAP corrigeant quatre vulnérabilités critiques et Microsoft corrigeant plus de 200 CVE. La liste de tâches de Microsoft comprend des correctifs pour trois jours zéro, 32 correctifs jugés « critiques » et un lot d’autres vulnérabilités à haut risque qui nécessitent une évaluation urgente. Il existe également une faille plus ancienne en cours d’exploitation, ainsi que certains correctifs affectant les produits d’entreprise pour lesquels Microsoft affirme qu’une exploitation est probable. Adobe a également corrigé des vulnérabilités critiques dans les logiciels d’entreprise.
Augmentation de la vulnérabilité
Il s’agit d’un record pour les CVE du Patch Tuesday – et cela sans compter les autres vulnérabilités exploitées que Microsoft a corrigées hors bande depuis sa mise à jour de mai.
Microsoft a récemment déclaré à ses clients qu’il s’attend à ce que le nombre de vulnérabilités dans les mises à jour mensuelles continue d’augmenter, influencé par l’utilisation croissante des outils d’IA. Comme le dit un article du Microsoft Security Response Center en mai : « Alors que les versions plus importantes s’installent comme la norme, la façon dont nous livrons et décidons des mises à jour reste cohérente. Le Patch Tuesday continue à suivre notre rythme prévisible pour les logiciels sur site », a-t-il ajouté.
Selon Nirwan Dogra, ingénieur logiciel senior chez Microsoft Security, mai et juin 2026 représentent une nouvelle norme qui remettra en question les correctifs traditionnels et plus lents de test et de déploiement.
« Le nombre de plus de 200 CVE n’est pas une anomalie. C’est la nouvelle référence. La découverte de vulnérabilités assistée par l’IA (fuzzing, analyse statique, recherche de variantes) réduit considérablement la chronologie entre ‘un bug existe’ et ‘un bug est trouvé' », a-t-il déclaré par e-mail.
De manière inquiétante, selon Dogra, les outils d’IA utilisés entraînaient également la découverte de davantage de failles dans des composants auparavant considérés comme trop complexes pour un audit manuel, tels que le code de l’hyperviseur et Kerberos. Il a recommandé aux organisations de s’orienter vers une priorisation des vulnérabilités basée sur les risques, des pipelines de correctifs automatisés et de se concentrer sur les failles susceptibles d’être exploitées.
Dustin Childs, responsable de la sensibilisation aux menaces pour l’Initiative Zero Day (ZDI) de TrendAI, est d’accord : « Nous nous dirigeons vers un été à enjeux élevés pour la cybersécurité. La baisse record de 210 vulnérabilités Microsoft en juin est un avertissement sévère selon lequel l’IA stimule la découverte de failles à une échelle incontrôlable », a-t-il déclaré.
Les correctifs hautement prioritaires de Microsoft
Trois vulnérabilités sont classées comme zéro jour car elles ont été divulguées publiquement. Deux sont liées à des divulgations contradictoires affectant Windows par le chercheur Nightmare Eclipse qui ont beaucoup retenu l’attention : CVE-2026-45586 (CTFMON) et CVE-2026-50507 (contournement de BitLocker). Le troisième est CVE-2026-49160, une vulnérabilité de déni de service Zero Day classée CVSS 7,8 dans la pile de protocoles HTTP Windows utilisée par divers services Windows.
Les équipes de sécurité doivent également noter le correctif CVE-2026-42897, une faille du serveur Exchange exploitée activement, initialement divulguée en mai. Ce problème a été initialement résolu à l’aide de solutions de contournement, mais a maintenant été corrigé.
La liste des 15 vulnérabilités dont l’exploitation est considérée comme « plus probable » est intitulée CVE-2026-47291, une dangereuse faille RCE au niveau du noyau classée CVSS 9.8 dans http.sys que les attaquants pourraient utiliser pour cibler plusieurs applications d’entreprise importantes, pour IIS, WinRM ou Windows Admin Center.
Il convient également de prêter attention à une série de failles d’échappement de VM Hyper-V classées « élevées », CVE-2026-47652, CVE-2026-45641 et CVE-2026-45607. Toute personne exécutant des réseaux sur site sera également intéressée par CVE-2026-47288, un RCE affectant le cœur Active Directory Kerberos, et CVE-2026-45648, un CVSS 8.8 affectant les services de domaine Active Directory (AD DS).
Quatre vulnérabilités SAP critiques
La livraison du Security Patch Day de SAP pour juin comprend 15 correctifs couvrant une gamme de produits d’entreprise de base, notamment NetWeaver, Commerce Cloud, SAP S/4HANA et la plateforme de Business Intelligence Business Objects.
Quatre d’entre eux sont classés « critiques », le plus frappant étant CVE-2026-27671, une vulnérabilité de corruption de mémoire CVSS 9.8 dans Application Server ABAP et ABAP Platform. Le problème ici, a déclaré Jonathan Stross, analyste en sécurité SAP chez la société de sécurité Pathlock, est qu’il « ne nécessite aucune authentification et peut affecter à la fois la confidentialité, l’intégrité et la disponibilité. Un exploit réussi peut compromettre la fiabilité de l’ensemble de l’instance ABAP et de tout ce qui y est connecté ».
« Il s’agit de l’une des remarques les plus graves du lot, car l’attaque ne nécessite aucune authentification et peut affecter à la fois la confidentialité, l’intégrité et la disponibilité. Un exploit réussi peut compromettre la fiabilité de l’ensemble de l’instance ABAP et de tout ce qui y est connecté. «
Non loin derrière se trouve CVE-2026-44748, une vulnérabilité d’encapsulation de signature XML CVSS 9.9 dans l’authentification SAML dans SAP NetWeaver Application Server ABAP et ABAP Platform. Cela permet à un attaquant authentifié disposant de privilèges d’utilisateur de bas niveau de capturer un message SAML signé, de modifier et de soumettre une charge utile XML avec des données d’identité falsifiées.
Les dernières failles critiques sont CVE-2026-22732, une faille de sécurité CVSS 9.1 Spring dans SAP Commerce Cloud et SAP Data Hub, et CVE-2026-40128, une vulnérabilité de traversée de répertoire CVSS 9.0 dans le serveur d’applications Java (conteneur Web).
La mise à jour de ce mois corrige également deux vulnérabilités marquées « élevées », la CVSS 7.4 CVE-2026-29145, corrigeant plusieurs faiblesses d’Apache Tomcat dans SAP Commerce Cloud, et CVE-2026-44751, une vérification d’autorisation manquante affectant le serveur d’applications ABAP de SAP NetWeaver et la plateforme ABAP.
Adobe corrige les vulnérabilités des entreprises
La mise à jour d’Adobe de juin corrige 123 vulnérabilités dans Reader, ColdFusion, Experience Manager Forms, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver, Format Plugins et Adobe Campaign Classic.
Il convient de noter les deux CVE notés CVSS 10 (APSB26-66) dans la plateforme de marketing d’entreprise Adobe Campaign Classic, les sept CVE pour la plupart « critiques » ou « élevés » affectant ColdFusion (APSB26-64) et un total de 20 CVE affectant Reader (APSB26-63). C’est également un mois chargé pour InDesign, qui présente 12 vulnérabilités (APSB26-58), et Experience Manager qui en présente trois (APSB26-57).
