[Verse 1] Balbooa Forms, premier coupable sur la liste du matin Un formulaire qui accepte n'importe quel fichier, sans examen Pas besoin de mot de passe, pas de badge, pas de chemin gardé Un inconnu peut déposer un exécutable bien caché La machine ouvre la bouche, elle ne mâche pas, elle ingère Du code qui peut tourner, infecter, tout faire brûler par derrière C'est CVE-2026-56291 — grave comme une fracture ouverte Balbooa laisse entrer les loups par la grande fenêtre [Chorus] Upload sans restriction, fichier dangereux qui monte Le serveur dit oui à tout, la vigilance se déconte PHP qui s'exécute là où personne ne regarde Trois plugins Joomla vulnérables — la muraille se fissure et se tarde Ferme la porte, filtre le type, vérifie avant d'accepter Sinon quelqu'un d'autre décide ce que ton serveur va faire tourner [Verse 2] iCagenda vient ensuite, numéro CVE-2026-48939 Une pièce jointe dans l'agenda, ça semble innocent, ça semble bien Mais la fonction d'attachement ne contrôle pas le format reçu Un fichier PHP déguisé passe, et le serveur est déçu Le code étranger s'installe, il respire dans ton infrastructure Il peut lire, modifier, transmettre — une présence sans couture iCagenda, bel outil pour gérer les événements du mois Mais aujourd'hui il transporte autre chose que des rendez-vous, ma foi [Chorus] Upload sans restriction, fichier dangereux qui monte Le serveur dit oui à tout, la vigilance se déconte PHP qui s'exécute là où personne ne regarde Trois plugins Joomla vulnérables — la muraille se fissure et se tarde Ferme la porte, filtre le type, vérifie avant d'accepter Sinon quelqu'un d'autre décide ce que ton serveur va faire tourner [Verse 3] JoomShaper SP Page Builder, troisième nom dans le registre noir CVE-2026-48908 — même mécanique, même désespoir Sans authentification, un utilisateur anonyme arrive Il dépose un fichier arbitraire, et l'attaque devient active Un constructeur de pages qui reconstruit l'ennemi à l'intérieur Trois outils différents, trois failles identiques — même erreur Accepter sans vérifier, c'est comme laisser entrer n'importe qui Dans la salle serveur avec une valise qu'on n'a pas comprise [Bridge] Ce n'est pas de la magie noire, c'est juste un oubli de validation Un filtre absent, une extension mal bloquée, une simple omission Le danger n'a pas besoin de sophistication pour réussir Il suffit d'une porte entrouverte pour que tout commence à fléchir Mets à jour, corrige, surveille — ce trio demande une réponse rapide Onze juillet 2026, trois alarmes qui clignottent sur chaque grille [Outro] Balbooa, iCagenda, SP Page Builder — retenez ces trois noms Upload non restreint, fichiers exécutables, même poison Patcher aujourd'hui, surveiller demain, comprendre pour toujours Vulnérabilités critiques — la sécurité n'attend pas au carrefour
← Gazette du Canada — 11 juillet 2026 | Vulnérabilités critiques (2 sur 3) — 11 juillet 2026 →