[Verse 1] Appsmith, la plateforme qui construit tes panneaux d'admin Avant la version deux point un, y'avait un chemin malsain Le filtre HTTP sortant — WebClientUtils — laissait passer Des requêtes vers des hôtes interdits, le périmètre percé CVE-2026-55455, score neuf point un au compteur Un attaquant bien placé contournait le gardien protecteur Le plugin REST, le plugin GraphQL, tous les deux touchés Mets à jour vers deux point un avant que ça tourne mal [Chorus] Cacti, Appsmith, InsightConnect — les trois fantômes de juillet Score neuf virgule huit, neuf virgule un — les dés sont cochés Injection de commandes, filtres brisés, requêtes non lavées Patch tes systèmes maintenant, avant d'être dévalisé [Verse 2] Cacti gère les performances, surveille les pannes réseau Versions un point deux point trente et avant — terrain trop beau Le paramètre rfilter arrive brut, sans filtre sanitaire La fonction grv récupère tout sans vérifier l'affaire CVE-2026-39948, neuf virgule huit — le maximum presque atteint Un caractère malformé dans la requête et l'attaquant est inscrit La base de données s'ouvre comme une enveloppe décachetée Cacti doit appliquer le correctif, sans rien hésiter [Chorus] Cacti, Appsmith, InsightConnect — les trois fantômes de juillet Score neuf virgule huit, neuf virgule un — les dés sont cochés Injection de commandes, filtres brisés, requêtes non lavées Patch tes systèmes maintenant, avant d'être dévalisé [Verse 3] Cacti encore — double peine — CVE quarante-zéro-soixante-dix-neuf La fonction escape commande censée nettoyer mais elle ment, elle est creuse Elle est supposée neutraliser les caractères dangereux du shell Mais elle échoue silencieusement — la porte claque et le serveur chancelle Rapid7 InsightConnect, plugin AWK sous Linux, même chanson Le paramètre texte ou expression passe une commande sans raison Score sept virgule sept, exécution distante arbitraire Un attaquant envoie un string, ton système devient son affaire [Bridge] Filtre absent, échappement raté, paramètre brut injecté Quatre CVE posés sur la table, quatre systèmes exposés La leçon du premier juillet — valide tout ce qui entre Sanitize, escape, filtre — sinon ton code devient le ventre [Chorus] Cacti, Appsmith, InsightConnect — les trois fantômes de juillet Score neuf virgule huit, neuf virgule un — les dés sont cochés Injection de commandes, filtres brisés, requêtes non lavées Patch tes systèmes maintenant, avant d'être dévalisé [Outro] Premier juillet vingt-vingt-six, les vulnérabilités ne dorment pas Trois sur trois — le tableau est complet, applique les mises à jour dès ce soir-là
← Vulnérabilités critiques (2 sur 3) — 1 juillet 2026 | Cybersécurité — 1 juillet 2026 →