[Verse 1] n8n, l'outil d'automatisation, versions avant deux point quatre Ses nœuds MySQL, PostgreSQL, Microsoft SQL — attention, ça se fracture Un utilisateur authentifié glisse une requête non filtrée Les identifiants s'échappent sans guillemets, la base entière exposée CVSS huit virgule deux, suffisant pour tout déverser Injection SQL classique mais moderne dans sa façon de pénétrer [Chorus] Trois failles, trois portes dérobées dans nos systèmes CVE après CVE, l'inventaire des problèmes Désérialisation, injection, verrous brisés sans cérémonie Premier juillet, audite ton code, c'est pas de la théorie [Verse 2] Feast, le framework de features pour le machine learning en production Avant version zéro soixante-trois, une bombe dans sa configuration Un attaquant non authentifié envoie une requête gRPC bien ciselée Le processus de désérialisation avale l'objet empoisonné Résultat — exécution de code arbitraire sur ton serveur exposé CVSS neuf virgule huit, le plafond presque atteint, quasi-parfait pour plonger [Chorus] Trois failles, trois portes dérobées dans nos systèmes CVE après CVE, l'inventaire des problèmes Désérialisation, injection, verrous brisés sans cérémonie Premier juillet, audite ton code, c'est pas de la théorie [Bridge] Et puis Ruby concurrent, bibliothèque de concurrence élégante ReadWriteLock libère le verrou d'écriture sans vérifier qui l'a pris dedans N'importe quel fil d'exécution peut relâcher le verrou qu'il n'a jamais tenu Avant version un point trois point sept, le chaos ordonnancé s'est répandu Neuf virgule huit encore — quand le verrou devient une porte ouverte au vent Chaque thread devient suspect, chaque accès concurrent devient tourment [Verse 3] Ces trois CVE racontent la même histoire sous des formes différentes Faire confiance aux entrées sans les vérifier — une erreur qui se répète n8n fait confiance aux identifiants, Feast fait confiance aux paquets reçus concurrent-ruby fait confiance au thread qui dit "c'est moi qui tiens le dessus" La validation manquante, c'est le fil qui effile toute la tapisserie Mets à jour, patche, vérifie — c'est la seule liturgie [Verse 4] Derrière chaque score CVSS se cache une décision d'ingénieur Un paramètre mal échappé, un objet mal désérialisé, un verrou sans gardien Ces erreurs ne naissent pas du mal — elles naissent de la vitesse, de la pression Livrer vite, déployer fort, puis prier que personne ne pose la question Mais les chercheurs trouvent, les CVE publient, le monde entier peut lire Alors construis la défense avant que l'attaque vienne te surprendre [Outro] Deux virgule quatre pour n8n, zéro soixante-trois pour Feast Un point trois point sept pour Ruby — note ces chiffres dans ta tête au moins Premier juillet deux mille vingt-six, trois patches, trois décisions à prendre Le bulletin est fermé, mais demain d'autres failles vont s'étendre
← Vulnérabilités critiques (1 sur 3) — 1 juillet 2026 | Vulnérabilités critiques (3 sur 3) — 1 juillet 2026 →