Publié le 8 janvier 2026. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté deux vulnérabilités récemment exploitées, affectant Microsoft Office et Hewlett Packard Enterprise (HPE) OneView, à son catalogue de vulnérabilités exploitées connues (KEV). Cette décision fait suite à la confirmation d’une exploitation active de ces failles de sécurité.
- La CISA a ajouté une vulnérabilité critique (score CVSS : 10,0) dans HPE OneView, permettant l’exécution de code à distance par un utilisateur non authentifié.
- Une vulnérabilité d’injection de code dans Microsoft Office PowerPoint (CVE-2009-0556, score CVSS : 8,8) a également été ajoutée au catalogue KEV.
- Les agences fédérales américaines sont tenues d’appliquer les correctifs nécessaires d’ici le 28 janvier 2026.
La CISA met en garde contre l’exploitation active de ces vulnérabilités, soulignant la disponibilité d’un exploit de preuve de concept (PoC) pour la faille HPE OneView. Cette vulnérabilité, affectant toutes les versions antérieures à la version 11.00 de OneView, a été révélée le mois dernier par HPE, qui a rapidement publié des correctifs pour les versions 5.20 à 10.
Selon eSentire, la publication du PoC augmente considérablement le risque pour les organisations utilisant les versions vulnérables du logiciel.
« La disponibilité publique du code d’exploitation PoC augmente considérablement le risque pour les organisations exécutant les versions concernées de l’application. »
eSentire
L’entreprise recommande vivement d’appliquer les mises à jour nécessaires pour atténuer le risque d’exploitation.
La vulnérabilité dans Microsoft Office PowerPoint (CVE-2009-0556) est une faille d’injection de code qui permet à un attaquant distant d’exécuter du code arbitraire en corrompant la mémoire. Bien que plus ancienne, elle reste une menace potentielle.
Conformément à la Directive opérationnelle contraignante (DBO) 22-01, les agences du Pouvoir exécutif civil fédéral (FCEB) doivent impérativement appliquer les correctifs avant le 28 janvier 2026 afin de protéger leurs réseaux contre ces menaces actives. La portée et la source des attaques ciblant ces vulnérabilités ne sont pas encore clairement établies, mais la CISA suit de près la situation.
