[Verse 1] Balbooa Forms, outil discret, pensé pour recevoir Des fichiers joints, des données propres — c'est son devoir Mais quelqu'un a laissé la porte du hangar ouverte N'importe qui peut glisser un exécutable, alerte CVE-2026-56291, le numéro du crime Un utilisateur anonyme monte jusqu'au mime Il téléverse un fichier masqué derrière une extension Le serveur l'accepte sans vérifier l'intention [Chorus] Téléversement sans contrôle, le danger sans visage Un fichier banal en surface, un programme en cage Quand le serveur fait confiance au type qu'on lui montre La faille s'installe dans l'ombre, silencieuse, elle pointe Trois systèmes touchés ce jour, même mécanique Vérifier chaque extension — c'est la logique [Verse 2] iCagenda gère les événements, les dates, les rendez-vous Sa fonctionnalité de pièces jointes devient un carrefour douteux CVE-2026-48939 — l'agenda devient complice Un attaquant soumet du code PHP dans la coulisse Le serveur l'exécute comme si c'était légitime La plateforme transformée en scène pour le crime Pas besoin de mot de passe, pas besoin d'identité Juste un formulaire mal gardé pour franchir la cité [Chorus] Téléversement sans contrôle, le danger sans visage Un fichier banal en surface, un programme en cage Quand le serveur fait confiance au type qu'on lui montre La faille s'installe dans l'ombre, silencieuse, elle pointe Trois systèmes touchés ce jour, même mécanique Vérifier chaque extension — c'est la logique [Bridge] JoomShaper construit des pages, blocs par blocs assemblés SP Page Builder — mais la construction peut déraper CVE-2026-48908, le bâtisseur devient la brèche Un inconnu sans compte actif téléverse sa flèche Un fichier arbitraire grimpe dans l'architecture Et le code s'exécute sous la belle façade pure Même faille, troisième victime, le schéma se répète Filtrage manquant à l'entrée — la chaîne est incomplète [Verse 3] Trois éditeurs différents, trois équipes séparées Mais un angle mort commun qui les a tous piégés Accepter sans inspecter le contenu qu'on reçoit Croire que l'extension suffit à définir la loi Un vrai bouclier valide le contenu réel du fichier Refuse les exécutables déguisés en documents légers Le douze juillet sert de leçon gravée dans le protocole Sans validation stricte, chaque formulaire est une idole fragile [Chorus] Téléversement sans contrôle, le danger sans visage Un fichier banal en surface, un programme en cage Quand le serveur fait confiance au type qu'on lui montre La faille s'installe dans l'ombre, silencieuse, elle pointe Trois systèmes touchés ce jour, même mécanique Vérifier chaque extension — c'est la logique [Outro] Balbooa, iCagenda, SP Page Builder — retenez ces noms Patcher rapidement, bloquer chaque abandon Les CVE du douze juillet sonnent comme un rappel Le contrôle des fichiers n'est jamais artificiel
← Gazette du Canada — 12 juillet 2026 | Vulnérabilités critiques (2 sur 3) — 12 juillet 2026 →