Découvertes de vulnérabilités CVE

Parcourez la liste des alertes de sécurité relatives à l'identité identifiées par l'équipe de recherche sur la sécurité de l'identité de Semperis, composée d'experts en recherche sur les menaces reconnus à l'échelle mondiale. Pour plus d'informations sur notre programme de recherche, consultez la Bibliothèque de recherche sur la sécurité des identités.

Tous les niveaux de gravité
  • Tous les niveaux de gravité
  • Important
  • Élevé
  • Critique
Les plus récents en premier
  • Les plus récents en premier
  • Les plus anciens en premier
Identifiant CVE Description Produit concerné Type de vulnérabilité CWE Score CVSS
Sévérité
  • Tous
  • Important
  • Élevé
  • Critique
Publié
  • Les plus récents en premier
  • Les plus anciens en premier
Mis à jour par
CVE-2022-37994 Vulnérabilité liée à l'élévation de privilèges du client de préférences de stratégie de groupe Windows — apparentée à la vulnérabilité CVE-2022-37993, permettant une élévation de privilèges en local via le même composant du client de préférences de stratégie de groupe. Windows 10/11, Windows Server 2008–2022 Extension des privilèges CWE-264 / CWE-284 (Autorisations, privilèges et contrôles d'accès). 7.8 Élevé 11 octobre 2022 Microsoft (Mise à jour du mardi d'octobre 2022)
CVE-2022-37993 Vulnérabilité liée à l'élévation de privilèges du client de préférences de stratégie de groupe Windows — permet à un attaquant local authentifié d'obtenir des privilèges élevés en exploitant des failles du client de préférences de stratégie de groupe. Windows 10/11, Windows Server 2008–2022 Extension des privilèges CWE-264 / CWE-284 (Autorisations, privilèges et contrôles d'accès). 7.8 Élevé 11 octobre 2022 Microsoft (Mise à jour du mardi d'octobre 2022)
CVE-2024-38100 Vulnérabilité d'élévation de privilèges dans l'Explorateur de fichiers Windows — exploite l'objet DCOM ShellWindows ({9BA05972-F6A8-11CF-A442-00A0C90A8F39}) pour élever les privilèges et divulguer les hachages NetNTLM à partir de n'importe quelle session (technique « FakePotato »). Windows Server 2016/2019/2022 Extension des privilèges CWE-284 (Contrôle d'accès inadéquat). 7.8 Élevé 9 juillet 2024 Microsoft (Mardi des correctifs de juillet 2024, KB5040434)
CVE-2023-21746 Vulnérabilité NTLM de Windows permettant l'élévation de privilèges (LocalPotato) — exploite une faille dans l'authentification locale NTLM (attaque par réflexion NTLM), permettant la lecture et l'écriture arbitraires de fichiers ainsi que l'élévation de privilèges. Windows 10/11, Windows Server 2012–2022 Extension des privilèges CWE-284 / CWE-269 (Contrôle d'accès inadéquat / Gestion des privilèges). 7.8 Élevé 10 janvier 2023 Microsoft (Mise à jour du mardi de janvier 2023)
CVE-2022-37975 Vulnérabilité liée à l'élévation de privilèges dans la stratégie de groupe Windows — permet à un attaquant authentifié d'élever ses privilèges via une faille dans le traitement de la stratégie de groupe Windows ; score CVSS plus élevé que celui des variantes de Preference Client. Windows 10 v1809 et versions ultérieures, Windows Server 2019/2022 Extension des privilèges CWE-269 (Gestion inadéquate des privilèges). 8.8 Élevé 10 novembre 2022 Microsoft (Mise à jour du mardi de novembre 2022)
CVE-2022-37992 Vulnérabilité liée à l'élévation des privilèges dans la stratégie de groupe Windows — un attaquant local authentifié peut exploiter des failles dans le traitement de la stratégie de groupe pour passer d'un compte utilisateur à privilèges limités à un accès de haut niveau. Windows 10/11 (multiple versions)<br>Windows Server 2012–2022 Extension des privilèges CWE-264 / CWE-284 (Autorisations, privilèges et contrôles d'accès). 7.8 Important 8 novembre 2022 Microsoft (Mise à jour du mardi de novembre 2022)
CVE-2025-58726 Vulnérabilité permettant l'élévation de privilèges sur le serveur SMB de Windows — un contrôle d'accès inadéquat au sein du composant serveur SMB permet à un attaquant réseau autorisé disposant de privilèges limités d'élever ses privilèges à distance sans intervention de l'utilisateur. Windows 10 v1507 (et versions ultérieures) Extension des privilèges CWE-284 (Contrôle d'accès inadéquat). 7.5 Élevé 14 octobre 2025 Microsoft (Mise à jour du mardi d'octobre 2025)
CVE-2025-64669 Vulnérabilité permettant l'élévation de privilèges dans Windows Admin Center — des droits d'accès non sécurisés aux répertoires dans Windows Admin Center (jusqu'à la version 2.4.2.1 / WAC 2411) permettent à un attaquant local disposant de privilèges limités d'élever ses privilèges au niveau SYSTEM. Windows Admin Center ≤ 2.4.2.1 (WAC 2411) Extension des privilèges CWE-284 (Contrôle d'accès inadéquat). 7.8 Élevé 11 décembre 2025 Microsoft (Mardi des correctifs de décembre 2025)
CVE-2026-20929 Vulnérabilité d'élévation de privilèges dans HTTP.sys sous Windows — un contrôle d'accès inadéquat dans HTTP.sys sous Windows permet à un attaquant autorisé sur le réseau d'élever ses privilèges ; correctif fondamental intégrant rétrospectivement les exigences EPA (Extended Protection for Authentication). Windows (plusieurs versions) Extension des privilèges CWE-284 (Contrôle d'accès inadéquat). 7.6 Élevé 13 janvier 2026 Microsoft (Mardi des correctifs de janvier 2026)
CVE-2026-21529 Vulnérabilité d'usurpation d'identité dans Azure HDInsight – Une neutralisation incorrecte des données d'entrée lors de la génération de pages Web (« cross-site scripting ») dans Azure HDInsight permet à un attaquant autorisé de commettre une usurpation d'identité sur un réseau. Azure HDInsight Spoofing CWE-79 (Neutralisation incorrecte des données d'entrée lors de la génération d'une page Web / Cross-Site Scripting). 5.7 Important 10 février 2026 Microsoft (mise à jour du mardi de février 2026)
CVE-2026-26119 Vulnérabilité liée à l'élévation de privilèges dans Windows Admin Center — faille permettant l'élévation de privilèges via le réseau dans Windows Admin Center ; corrigée hors cycle après le correctif du noyau HTTP.SYS de janvier 2026 ; introduction de la fonction SetProperty(HttpServerChannelBindProperty) pour l'application de la technologie CBT. Centre d'administration Windows Extension des privilèges CWE-287 (Authentification incorrecte) 8.8 Critique 17 février 2026 Microsoft (correctif OOB de février 2026)
CVE-2026-25177 Vulnérabilité d'élévation de privilèges dans Active Directory Domain Services – Une restriction inadéquate des noms de fichiers et d'autres ressources dans Active Directory Domain Services permet à un attaquant autorisé d'élever ses privilèges sur un réseau. Windows 10/11, Windows Server 2012–2025 Extension des privilèges CWE-641 (Restriction inappropriée des noms de fichiers et d'autres ressources). 8.8 Important 10 mars 2026 Microsoft (mise à jour du mardi de mars 2026)
CVE-2026-23669 Vulnérabilité d'exécution de code à distance dans le moteur RPC de Windows — une faille de type « use-after-free » dans le moteur RPC permet à un attaquant autorisé d'exécuter du code arbitraire sur un réseau. Windows (plusieurs versions) Exécution de code à distance CWE-416 (Utilisation après libération). 8.8 Élevé 10 mars 2026 Microsoft (mise à jour du mardi de mars 2026)
CVE-2026-27912 Vulnérabilité liée à l'élévation de privilèges dans Windows Kerberos – Une autorisation incorrecte dans Windows Kerberos permet à un attaquant autorisé d'élever ses privilèges sur un réseau adjacent. Windows Server 2012–2025 Extension des privilèges CWE-285 (Autorisation non conforme) 8.0 Important 13 avril 2026 Microsoft (Mardi des correctifs d'avril 2026)