[Verse 1] Splunk Enterprise, le moteur qui surveille tes données Une faille sans authentification vient de se déclarer Un utilisateur anonyme, même sans badge, sans clé Peut contacter le serveur sidecar PostgreSQL caché Il crée des fichiers arbitraires, il les tronque à volonté Comme un passant qui entre dans ta banque et vide les tiroirs fermés Personne ne lui demande son nom, personne ne vérifie La fonction critique s'exécute seule, sans mot de passe, sans cri [Chorus] CVE-2026-20253, Splunk laisse passer l'inconnu Pas d'authentification sur la fonction, le système est vendu CVE-2026-48907, Joomla ouvre ses entrailles Un éditeur mal contrôlé, et le code PHP déferle sans faille Deux vulnérabilités critiques, dix-huit juin, vérifiez vos murs Patchs et configurations, c'est votre seule armure [Verse 2] Widget Factory, l'extension Joomla pour éditer le contenu Un contrôle d'accès défaillant, et tout devient interdit permis Un visiteur non authentifié peut créer des profils d'éditeur Puis glisser dedans du code PHP avec une fausse ardeur Le serveur exécute ce script comme s'il venait d'un administrateur C'est un masque parfait, un costume de directeur Le fichier remonte, le serveur obéit, la machine s'exécute Une porte dérobée plantée dans le jardin, silencieuse et brute [Chorus] CVE-2026-20253, Splunk laisse passer l'inconnu Pas d'authentification sur la fonction, le système est vendu CVE-2026-48907, Joomla ouvre ses entrailles Un éditeur mal contrôlé, et le code PHP déferle sans faille Deux vulnérabilités critiques, dix-huit juin, vérifiez vos murs Patchs et configurations, c'est votre seule armure [Bridge] Splunk et Widget Factory, deux noms dans le carnet rouge Les catalogues de vulnérabilités bougent, chaque faille bouge L'absence de contrôle, c'est un contrat signé pour l'attaquant Chaque fonction sans vérification devient son instrument Inventorie tes services exposés, ferme ce qui ne devrait pas l'être Parce qu'une faille non patchée reste une fenêtre ouverte en plein hiver [Chorus] CVE-2026-20253, Splunk laisse passer l'inconnu Pas d'authentification sur la fonction, le système est vendu CVE-2026-48907, Joomla ouvre ses entrailles Un éditeur mal contrôlé, et le code PHP déferle sans faille Deux vulnérabilités critiques, dix-huit juin, vérifiez vos murs Patchs et configurations, c'est votre seule armure [Outro] Dix-huit juin, deux failles classées critiques dans les registres Splunk Enterprise et Joomla Content Editor inscrites Mettre à jour, restreindre l'accès, auditer chaque composant La sécurité n'est pas un état, c'est un mouvement permanent
← Gazette du Canada — 18 juin 2026 | Vulnérabilités critiques (2 sur 3) — 18 juin 2026 →