[Verse 1] Première faille, Snowflake CLI avant la version triple-un-neuf Le programme lit un fichier SQL, mais quelqu'un glisse une ruse Une directive point-source, point-load, elle appelle un serveur distant La requête part toute seule vers un hôte non-consentant On appelle ça du SSRF — la machine devient messager Elle envoie des données là où elle n'aurait pas dû voyager Indice CVSS quatre-point-un, la gravité reste modérée Mais l'outil de ligne de commande était mal sécurisé [Chorus] Vulnérabilités critiques, six juillet, on les nomme Des failles dans le tissu du code que personne n'a vues venir Trois numéros CVE qui circulent comme des fantômes Snowflake, googleapis, GLib — il faut les couvrir [Verse 2] Deuxième faille, score neuf-point-un, là c'est plus sérieux googleapis MCP-Toolbox construit des URLs pour les dieux Mais quand il remplace les paramètres de chemin contrôlés par l'usager Il traverse des dossiers interdits sans jamais vérifier Path traversal — l'attaquant glisse deux points deux barres obliques Et le serveur descend dans les répertoires comme une taupe électrique Neuf-point-un sur dix — presque critique total La requête construite en aval devient portail illégal [Chorus] Vulnérabilités critiques, six juillet, on les nomme Des failles dans le tissu du code que personne n'a vues venir Trois numéros CVE qui circulent comme des fantômes Snowflake, googleapis, GLib — il faut les couvrir [Bridge] GLib, la bibliothèque du cœur de GNOME Une fonction qui lit du XML pour le bus de messages D-Bus Un nœud XML mal formé avec une balise bizarre Et l'état interne du parseur part en confusion soudaine Sept-point-cinq, l'état se mélange, le programme perd la mémoire Dans gio-gdbusintrospection-point-c — une arène de gloire La confusion d'état peut mener vers le crash ou pire encore Mettre à jour GLib, c'est fermer cette mâchoire [Verse 3] Trois CVE, trois histoires de confiance brisée Snowflake lit trop loin, googleapis descend trop vite GLib se perd dans un XML qui la contrarie Le code de demain patch les erreurs d'aujourd'hui [Chorus] Vulnérabilités critiques, six juillet, on les nomme Des failles dans le tissu du code que personne n'a vues venir Trois numéros CVE qui circulent comme des fantômes Snowflake, googleapis, GLib — il faut les couvrir [Outro] CVE-2026-treize-sept-cinq-un, onze-sept-vingt, cinquante-huit-zéro-seize Mémorise ces noms, vérifie tes versions, applique le correctif Six juillet deux mille vingt-six, l'actualité pique Trois failles patchées, la sécurité reprend sa logique
← Vulnérabilités critiques (1 sur 3) — 6 juillet 2026 | Vulnérabilités critiques (3 sur 3) — 6 juillet 2026 →