Vulnérabilités critiques (3 sur 3) — 1 juillet 2026

chillwave egyptian, french samba, motown, glitch hop swing · 3:51

Listen on 93

Lyrics

[Verse 1]
Appsmith, la plateforme qui construit tes panneaux d'admin
Avant la version deux point un, y'avait un chemin malsain
Le filtre HTTP sortant — WebClientUtils — laissait passer
Des requêtes vers des hôtes interdits, le périmètre percé
CVE-2026-55455, score neuf point un au compteur
Un attaquant bien placé contournait le gardien protecteur
Le plugin REST, le plugin GraphQL, tous les deux touchés
Mets à jour vers deux point un avant que ça tourne mal

[Chorus]
Cacti, Appsmith, InsightConnect — les trois fantômes de juillet
Score neuf virgule huit, neuf virgule un — les dés sont cochés
Injection de commandes, filtres brisés, requêtes non lavées
Patch tes systèmes maintenant, avant d'être dévalisé

[Verse 2]
Cacti gère les performances, surveille les pannes réseau
Versions un point deux point trente et avant — terrain trop beau
Le paramètre rfilter arrive brut, sans filtre sanitaire
La fonction grv récupère tout sans vérifier l'affaire
CVE-2026-39948, neuf virgule huit — le maximum presque atteint
Un caractère malformé dans la requête et l'attaquant est inscrit
La base de données s'ouvre comme une enveloppe décachetée
Cacti doit appliquer le correctif, sans rien hésiter

[Chorus]
Cacti, Appsmith, InsightConnect — les trois fantômes de juillet
Score neuf virgule huit, neuf virgule un — les dés sont cochés
Injection de commandes, filtres brisés, requêtes non lavées
Patch tes systèmes maintenant, avant d'être dévalisé

[Verse 3]
Cacti encore — double peine — CVE quarante-zéro-soixante-dix-neuf
La fonction escape commande censée nettoyer mais elle ment, elle est creuse
Elle est supposée neutraliser les caractères dangereux du shell
Mais elle échoue silencieusement — la porte claque et le serveur chancelle
Rapid7 InsightConnect, plugin AWK sous Linux, même chanson
Le paramètre texte ou expression passe une commande sans raison
Score sept virgule sept, exécution distante arbitraire
Un attaquant envoie un string, ton système devient son affaire

[Bridge]
Filtre absent, échappement raté, paramètre brut injecté
Quatre CVE posés sur la table, quatre systèmes exposés
La leçon du premier juillet — valide tout ce qui entre
Sanitize, escape, filtre — sinon ton code devient le ventre

[Chorus]
Cacti, Appsmith, InsightConnect — les trois fantômes de juillet
Score neuf virgule huit, neuf virgule un — les dés sont cochés
Injection de commandes, filtres brisés, requêtes non lavées
Patch tes systèmes maintenant, avant d'être dévalisé

[Outro]
Premier juillet vingt-vingt-six, les vulnérabilités ne dorment pas
Trois sur trois — le tableau est complet, applique les mises à jour dès ce soir-là

← Vulnérabilités critiques (2 sur 3) — 1 juillet 2026 | Cybersécurité — 1 juillet 2026 →