Rapport des CVE du 21.04.2026

CVE-2026-41329 - OpenClaw < 2026.3.31 - Sandbox Bypass via Heartbeat Context Inheritance and senderIsOwner Escalation

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 9.9

Lire plus

CVE-2026-32613 - Spinnaker vulnerable to RCE via expression parsing due to unrestricted context handling

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 9.9

Lire plus

CVE-2026-32604 - Spinnaker vulnerable to RCE when using gitrepo artifact types due to improper sanitization of user input on branch and paths

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 9.9

Lire plus

CVE-2026-5965 - NewSoft｜NewSoftOA - OS Command Injection

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 9.8

Lire plus

CVE-2026-39109 - Apartment Visitors Management System SQL Injection

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 9.4

Lire plus

CVE-2026-32311 - Command Injection and Docker container escape allows root on host machine

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 9.3

Lire plus

CVE-2026-6257 - Vvveb CMS v1.0.8 Remote Code Execution via Media Management

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 9.2

Lire plus

CVE-2026-40496 - FreeScout has Predictable Attachment Token that Allows Unauthenticated Private File Download via Brute Force

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.8

Lire plus

CVE-2026-39386 - Neko has Self-service Privilege Escalation for Authenticated Users

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.8

Lire plus

CVE-2026-41303 - OpenClaw < 2026.3.28 - Authorization Bypass in Discord Text Approval Commands

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.8

Lire plus

CVE-2026-41296 - OpenClaw < 2026.3.31 - Sandbox Escape via TOCTOU Race in Remote FS Bridge readFile

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.8

Lire plus

CVE-2026-6249 - Vvveb CMS 1.0.8 Remote Code Execution via Media Upload

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.8

Lire plus

CVE-2026-41445 - KissFFT Integer Overflow Heap Buffer Overflow via kiss_fftndr_alloc()

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.8

Lire plus

CVE-2026-40488 - OpenMage LTS has Customer File Upload Extension Blocklist Bypass that Leads to Remote Code Execution

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.7

Lire plus

CVE-2026-41294 - OpenClaw < 2026.3.28 - Environment Variable Injection via CWD .env File

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.6

Lire plus

CVE-2026-33031 - Nginx-UI: Disabled users retain full API access through previously issued bearer tokens

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.6

Lire plus

CVE-2026-41295 - OpenClaw < 2026.4.2 - Untrusted Workspace Channel Shadow Code Execution during Built-in Channel Setup

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.5

Lire plus

CVE-2026-40250 - OpenEXR has integer overflow in DWA decoder outBufferEnd pointer arithmetic (missed variant of CVE-2026-34589)

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.4

Lire plus

CVE-2026-40244 - OpenEXR has integer overflow in DWA setupChannelData planarUncRle pointer arithmetic (missed variant of CVE-2026-34589)

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.4

Lire plus

CVE-2026-35570 - OpenClaude has Sandbox Bypass via Early-Exit Logic Flaw that Allows Path Traversal

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.4

Lire plus

CVE-2025-13826 - Incorrect input validation on the Zervit portable HTTP/Web server

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.2

Lire plus

CVE-2026-39110 - Apache Openvisit SQL Injection Vulnerability

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.2

Lire plus

CVE-2026-5478 - Everest Forms <= 3.4.4 - Unauthenticated Arbitrary File Read and Deletion via Upload Field 'old_files' Parameter

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.1

Lire plus

CVE-2026-6248 - wpForo Forum <= 3.0.5 - Authenticated (Subscriber+) Arbitrary File Deletion via Custom Profile Field File Path

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : 8.1

Lire plus

CVE-2026-40497 - FreeScout Vulnerable to CSS Injection via Stored Style Tag in Mailbox Signature (CSRF Token Exfiltration)

ID CVE : N/A

Publié : N/A

Description 🇬🇧 : N/A

Description 🇫🇷 : N/A

Gravité : N/A

Lire plus

Liste Hebdomadaire des CVE Sévères