[Verse 1] Splunk Enterprise, l'outil des analystes Un service PostgreSQL qui existe en coulisse Mais personne surveille la porte d'entrée Un utilisateur anonyme peut tout dérégler Sans mot de passe, sans badge, sans identité Il crée des fichiers, il les tronque, il efface tout en secret CVE-deux-zéro-deux-six tiret deux-zéro-deux-cinq-trois La fonction critique tourne à nu — c'est pas une métaphore [Chorus] Failles critiques, vingt-et-un juin Trois vecteurs ouverts dans le matin Accès sans clé, symlink caché Le système tremble — alerte activée Patch maintenant, corrige le tir Chaque minute compte, chaque heure fait dériver [Verse 2] Joomla Content Editor — Widget Factory au banc Un éditeur de contenu avec des profils changeants Un inconnu arrive, il crée un nouveau profil Le plugin accepte, aucune vérification utile Il glisse du code PHP dans l'enveloppe légère Le serveur exécute sans poser de question sincère CVE-deux-zéro-deux-six tiret quatre-huit-neuf-zéro-sept Contrôle d'accès absent — la logique défaillante [Chorus] Failles critiques, vingt-et-un juin Trois vecteurs ouverts dans le matin Accès sans clé, symlink caché Le système tremble — alerte activée Patch maintenant, corrige le tir Chaque minute compte, chaque heure fait dériver [Verse 3] LiteSpeed sur cPanel, hébergement mutualisé CloudLinux et CageFS sont censés isoler Mais un lien symbolique posé au bon endroit Traverse la cage, sort des rails, suit sa propre loi FTP ou shell web suffisent pour l'amorcer Le symlink pointe ailleurs — le système est berniqué CVE-deux-zéro-deux-six tiret cinq-quatre-quatre-deux-zéro Un utilisateur ordinaire devient extraordinaire — c'est zero [Bridge] Trois CVE, trois architectures différentes Splunk, Joomla, LiteSpeed — la surface est immense L'authentification manquante c'est la porte grand ouverte Le contrôle d'accès absent c'est la caisse sans serrure Le symlink qui suit c'est le tunnel sous la clôture Catalogue CISA, inscris-les sans hésitation Priorise le patch avant l'exploitation [Verse 4] Les équipes SOC scrutent les logs en continu Mais sans le correctif, l'effort est superflu Chaque CVE raconte une histoire d'oubli Un développeur pressé, une vérification omise La surface d'attaque grandit à chaque release Documente, escalade, ne laisse rien en franchise [Chorus] Failles critiques, vingt-et-un juin Trois vecteurs ouverts dans le matin Accès sans clé, symlink caché Le système tremble — alerte activée Patch maintenant, corrige le tir Chaque minute compte, chaque heure fait dériver [Outro] Vingt-et-un juin — la veille ne s'arrête pas Trois failles aujourd'hui, combien demain déjà Analyse, documente, applique le correctif La sécurité c'est pas passif — c'est perpétuellement actif
← Gazette du Canada — 21 juin 2026 | Vulnérabilités critiques (2 sur 3) — 21 juin 2026 →