Vulnérabilités critiques (3 sur 3) — 13 juillet 2026

cajun acid rock, urdu shoegaze · 5:02

Listen on 93

Lyrics

[Verse 1]
CVE-2026-40139, score neuf point huit
BeyondTrust Remote Support, la porte s'ouvre la nuit
Le sous-système d'authentification mal configuré
Un attaquant sans identité peut tout traverser
Pas de mot de passe, pas de badge, juste une requête tordue
Le serveur la traite mal, et l'accès est obtenu
Pré-authentification brisée, le verrou fond comme glace
Un inconnu pénètre le réseau sans laisser de trace

[Chorus]
Patch immédiat, pas de délai, pas de répit
Neuf point huit, neuf point neuf, dix sur dix, c'est écrit
BeyondTrust, Traefik, Esri — trois noms à retenir
Treize juillet, les failles arrivent, faut pas les subir
Corrige avant que l'intrus décide d'agir

[Verse 2]
CVE-2026-40141, on monte d'un cran encore
Neuf point neuf au compteur, on frise presque le score
Le composant web de BeyondTrust Privileged Remote Access
Reçoit des paramètres d'entrée sans vérifier leur masse
Validation insuffisante, les données glissent sans filtre
Le serveur exécute ce qu'il devrait mettre en litre
Deux failles chez le même éditeur le même mois
Double peine, double honte, double risque sous les toits

[Chorus]
Patch immédiat, pas de délai, pas de répit
Neuf point huit, neuf point neuf, dix sur dix, c'est écrit
BeyondTrust, Traefik, Esri — trois noms à retenir
Treize juillet, les failles arrivent, faut pas les subir
Corrige avant que l'intrus décide d'agir

[Bridge]
Traefik, le proxy inverse qui équilibre le trafic
CVE-2026-54763, score parfait, dix sur dix, authentique
BasicAuth, DigestAuth, ForwardAuth — trois middlewares piégés
Ils retirent les en-têtes canoniques, mais les faux restent ancrés
Un attaquant forge une identité dans l'en-tête HTTP
Le middleware la strip mal, l'imposteur passe et gagne l'accès
Avant les versions deux onze cinquante et un, trois six vingt-deux
Chaque proxy non patché devient un couloir dangereux

Et chez Esri, ArcGIS Portal version douze un et avant
La récupération de mot de passe oubliée est défaillante
Score huit point un, l'attaquant non autorisé prend la main
Il usurpe le compte du propriétaire, chemin sans frein

[Chorus]
Patch immédiat, pas de délai, pas de répit
Neuf point huit, neuf point neuf, dix sur dix, c'est écrit
BeyondTrust, Traefik, Esri — trois noms à retenir
Treize juillet, les failles arrivent, faut pas les subir
Corrige avant que l'intrus décide d'agir

[Outro]
Quatre CVE, quatre urgences sur ta liste aujourd'hui
Vérifie tes versions, applique les correctifs sans bruit
La sécurité ne dort pas, le NVD publie et avertit
Treize juillet vingt-vingt-six — reste vigilant cette nuit

← Vulnérabilités critiques (2 sur 3) — 13 juillet 2026 | Cybersécurité — 13 juillet 2026 →