[Verse 1] PTC Windchill, logiciel industriel Gère les données, les plans, le matériel Mais CVE-2026-12569 arrive en silence Une requête malveillante suffit — l'attaquant avance Pas besoin d'identifiant, pas besoin d'entrer Il envoie un message tordu au réseau non filtré La validation des entrées n'est pas au rendez-vous Le code s'exécute à distance — et l'intrus est chez vous FlexPLM partage la même blessure ouverte Deux produits touchés, même faille découverte [Chorus] Validation absente, la porte est grande ouverte Injection de code, la machine est offerte Requête forgée côté serveur, le réseau ment Trois CVE critiques, vingt-huit juin — soyez prudents Patch maintenant, ne laissez pas dormir la faille Chaque système non corrigé devient une muraille qui déraille [Verse 2] Cisco Unified Communications Manager, au cœur des appels CVE-2026-20230 — une attaque pas si belle Le SSRF, c'est quand le serveur devient messager trompé Il envoie des requêtes internes là où il n'aurait pas dû aller L'attaquant dit au serveur : "Va frapper cette porte interne" Le serveur obéit sans vérifier — la logique se déconcerte Unified CM, Unified CM SME, les deux affectés Des communications d'entreprise potentiellement infiltrées [Chorus] Validation absente, la porte est grande ouverte Injection de code, la machine est offerte Requête forgée côté serveur, le réseau ment Trois CVE critiques, vingt-huit juin — soyez prudents Patch maintenant, ne laissez pas dormir la faille Chaque système non corrigé devient une muraille qui déraille [Verse 3] Lantronix EDS5000, connecteur de réseaux sériels CVE-2025-67038 — injection bien réelle Dans le champ du nom d'utilisateur, on glisse une commande Le système ne filtre pas — il exécute ce qu'on lui demande Ces commandes tournent en root, au niveau le plus haut L'attaquant contrôle la machine, du bas jusqu'en chapeau Un simple champ de texte devient vecteur d'attaque total Quand l'injection de code OS passe par le terminal [Verse 4] La surface d'attaque grandit chaque jour qui passe Des milliers de systèmes exposés dans l'espace Industriel, télécom, connectivité sérielle Chaque domaine touché par une faille réelle Les équipes sécurité courent après le temps Pendant que les attaquants patientent tranquillement Chaque patch non appliqué est une invitation À transformer vos réseaux en zone d'exploitation [Bridge] Trois leçons à retenir ce soir Valider chaque entrée — c'est ton premier devoir Bloquer les requêtes forgées côté serveur Filtrer les commandes injectées avec rigueur Ces noms de code — CVE — ne sont pas des abstractions Ce sont des systèmes réels, des vraies compromissions [Outro] Vingt-huit juin, deux mille vingt-six Trois failles critiques dans la matrice PTC, Cisco, Lantronix — retenez ces noms Appliquez vos correctifs, protégez vos maisons
← Gazette du Canada — 28 juin 2026 | Vulnérabilités critiques (2 sur 3) — 28 juin 2026 →