CVE Analysis ArticlesArticles Analyse CVE

Guides Guides

Docker Compose Security in 2026: CVE-2025-62725 (CVSS 8.9), Secrets Exposure & Hardening Guide

Sécurité Docker Compose en 2026 : CVE-2025-62725 (CVSS 8.9), Exposition des Secrets & Guide de Durcissement

CVE-2025-62725 (CVSS 8.9) overwrites arbitrary host files via docker compose ps — no containers needed, fixed in Compose 2.40.2. CVE-2026-34040 (CVSS 8.8) bypasses Docker Engine AuthZ plugins with one padded request, fixed in Engine 29.3.1. Complete 2026 hardening checklist: secrets management, port binding, capabilities, rootless containers.

CVE-2025-62725 (CVSS 8.9) écrase des fichiers arbitraires via docker compose ps — sans lancer de conteneur, corrigée dans Compose 2.40.2. CVE-2026-34040 (CVSS 8.8) contourne les plugins AuthZ Docker Engine avec une requête rembourrée, corrigée dans Engine 29.3.1. Checklist de durcissement 2026 : gestion des secrets, liaison des ports, capabilities, conteneurs rootless.

May 2026 Mai 2026 Read Lire

Vue.js / Nuxt Vue.js / Nuxt

Vue.js & Nuxt Security Vulnerabilities in 2026: CVE-2025-52662 DevTools RCE Chain, CDN Cache Poisoning & Hardening Guide

Vulnérabilités Vue.js & Nuxt en 2026 : Chaîne RCE DevTools CVE-2025-52662, Empoisonnement Cache CDN & Guide de Durcissement

Nuxt patched 4 CVEs in 2025–2026 — CVE-2025-52662 (CVSS 6.9) chains XSS → auth token exfiltration → path traversal → RCE in DevTools, CVE-2025-27415 (CVSS 7.5) poisons CDN caches with crafted headers, CVE-2026-34404 & CVE-2026-34405 expose unauthenticated OG Image endpoints to DoS & reflected XSS. v-html XSS patterns & nuxt-security hardening guide for 6.4M weekly Vue downloads.

Nuxt a corrigé 4 CVE en 2025–2026 — CVE-2025-52662 (CVSS 6.9) chaîne XSS → exfiltration token → path traversal → RCE dans DevTools, CVE-2025-27415 (CVSS 7.5) empoisonne les caches CDN, CVE-2026-34404 & CVE-2026-34405 exposent les endpoints OG Image non authentifiés à un DoS & XSS réfléchi. Patterns XSS v-html & guide de durcissement nuxt-security.

May 2026 Mai 2026 Read Lire

React React

React Security Vulnerabilities in 2026: CVE-2025-55182 (CVSS 10.0 React2Shell), RSC DoS Chain & Hardening Guide

Vulnérabilités React en 2026 : CVE-2025-55182 (CVSS 10.0 React2Shell), Chaîne DoS RSC & Guide de Durcissement

React published 6 CVEs between December 2025 and May 2026. CVE-2025-55182 (React2Shell, CVSS 10.0) enabled unauthenticated RCE on any RSC deployment — exploited within 48h, 766 servers compromised. CVE-2026-23870 (CVSS 7.5) crashes RSC apps via low-bandwidth requests. Cloudflare added WAF mitigations May 6, 2026. dangerouslySetInnerHTML XSS patterns & complete hardening guide.

React a publié 6 CVE entre décembre 2025 et mai 2026. CVE-2025-55182 (React2Shell, CVSS 10.0) permettait un RCE non authentifié sur tout déploiement RSC — exploitée en 48h, 766 serveurs compromis. CVE-2026-23870 (CVSS 7.5) crashe les apps RSC via des requêtes à faible débit. Cloudflare a ajouté des atténuations WAF le 6 mai 2026. Patterns XSS dangerouslySetInnerHTML & guide de durcissement complet.

May 2026 Mai 2026 Read Lire

npm npm

TanStack npm Supply Chain Attack in 2026: CVE-2026-45321 (CVSS 9.6), Mini Shai-Hulud Worm & CI/CD Hardening Guide

Attaque Supply Chain npm TanStack en 2026 : CVE-2026-45321 (CVSS 9.6), Ver Mini Shai-Hulud & Comment Protéger Votre CI/CD

CVE-2026-45321 (CVSS 9.6): 84 malicious @tanstack/* versions published in 6 minutes on May 11, 2026 via GitHub Actions OIDC token theft — the first npm worm to bypass SLSA Build Level 3 provenance. 518M+ cumulative downloads affected across 170+ npm & PyPI packages. Pull_request_target attack chain explained & full CI/CD hardening checklist.

CVE-2026-45321 (CVSS 9.6) : 84 versions malveillantes @tanstack/* publiées en 6 minutes le 11 mai 2026 via vol de token OIDC GitHub Actions — premier ver npm à contourner la provenance SLSA Build Level 3. 518M+ téléchargements cumulés affectés sur 170+ packages npm & PyPI. Chaîne d’attaque pull_request_target expliquée & guide de durcissement CI/CD complet.

May 2026 Mai 2026 Read Lire

Svelte / SvelteKit Svelte / SvelteKit

Svelte & SvelteKit Security Vulnerabilities in 2026: CVE-2026-40073 (CVSS 8.2), SvelteSpill Cache Deception & Hardening Guide

Vulnérabilités Svelte & SvelteKit en 2026 : CVE-2026-40073 (CVSS 8.2), SvelteSpill Cache Deception & Guide de Durcissement

SvelteKit disclosed 6 CVEs in 2026 — CVE-2026-40073 (CVSS 8.2) lets unauthenticated attackers bypass BODY_SIZE_LIMIT via chunked encoding. CVE-2025-67647 enables full-read SSRF & one-shot DoS via prerendered routes. SvelteSpill (CVE-2026-27118) leaks authenticated session data through Vercel CDN. devalue CVEs exhaust server memory from a single request. Hardening checklist included.

SvelteKit a divulgué 6 CVE en 2026 — CVE-2026-40073 (CVSS 8.2) permet à des attaquants non authentifiés de contourner BODY_SIZE_LIMIT via l’encodage par chunks. CVE-2025-67647 active le SSRF à lecture complète & DoS en un coup via les routes pré-rendues. SvelteSpill (CVE-2026-27118) fuit les données de session authentifiées via le CDN Vercel. Check-list de durcissement incluse.

May 2026 Mai 2026 Read Lire

npm npm

TypeScript & Deno Security Vulnerabilities in 2026: CVE-2026-32260 Command Injection Chain & Hardening Guide

Vulnérabilités TypeScript & Deno en 2026 : Chaîne d’Injection CVE-2026-32260 & Guide de Durcissement

Deno patched 4 CVEs between January and May 2026 — CVE-2026-32260 (CVSS 8.1) bypasses the fix for CVE-2026-27190 via backtick substitution in double-quoted arguments, CVE-2026-41690 (CVSS 8.6) lets unauthenticated clients pollute Object.prototype. TypeScript type confusion pitfalls, deno.lock & import maps hardening guide.

Deno a corrigé 4 CVE entre janvier et mai 2026 — CVE-2026-32260 (CVSS 8.1) contourne le correctif de CVE-2026-27190 via la substitution par guillemets obliques dans des arguments entre guillemets doubles, CVE-2026-41690 (CVSS 8.6) permet à des clients non authentifiés de polluer Object.prototype. Pièges de confusion de types TypeScript, guide de durcissement deno.lock & import maps.

May 2026 Mai 2026 Read Lire

Angular Angular

Angular Security Vulnerabilities in 2026: CVE-2026-27739 (CVSS 9.2 SSRF), XSS Epidemic & Hardening Guide

Vulnérabilités Angular en 2026 : CVE-2026-27739 (CVSS 9.2 SSRF), Épidémie XSS & Guide de Durcissement

Angular patched 7 CVEs across 2025–2026 — CVE-2026-27739 (CVSS 9.2, Critical SSRF in SSR pipeline), CVE-2026-22610 (CVSS 8.5, XSS via SVG script attributes), CVE-2026-27970 (XSS in i18n ICU messages affecting every Angular version ever released). CSP, TrustedTypes & full hardening guide.

Angular a corrigé 7 CVE en 2025–2026 — CVE-2026-27739 (CVSS 9.2, SSRF Critique dans le pipeline SSR), CVE-2026-22610 (CVSS 8.5, XSS via attributs SVG script), CVE-2026-27970 (XSS dans les messages ICU i18n affectant toutes les versions Angular jamais publiées). CSP, TrustedTypes & guide de durcissement complet.

May 2026 Mai 2026 Read Lire

npm npm

OpenSSL & Node.js TLS Security in 2026: CVE-2026-2673 (Post-Quantum Fallback), 12 OpenSSL CVEs & Production Hardening Guide

Sécurité OpenSSL & TLS dans Node.js en 2026 : CVE-2026-2673 (Repli Post-Quantique), 12 CVE OpenSSL & Guide de Durcissement

OpenSSL’s January 2026 advisory disclosed 12 CVEs — CVE-2025-15467 (High, RCE-class buffer overflow in CMS AEAD) & CVE-2025-11187 (Moderate, PKCS#12 DoS). CVE-2026-2673 silently downgrades post-quantum TLS 1.3 from X25519MLKEM768 to classical X25519 on OpenSSL 3.5/3.6. Full production TLS 1.3 config, HSTS & certificate management guide.

L’advisory OpenSSL de janvier 2026 divulgue 12 CVE — CVE-2025-15467 (High, buffer overflow RCE dans CMS AEAD) & CVE-2025-11187 (Moderate, DoS PKCS#12). CVE-2026-2673 dégrade silencieusement le TLS 1.3 post-quantique de X25519MLKEM768 vers X25519 classique sur OpenSSL 3.5/3.6. Configuration TLS 1.3, HSTS & gestion des certificats en production.

May 2026 Mai 2026 Read Lire

npm npm

Node.js & Express Security Vulnerabilities in 2026: 16 CVEs, Node 20 EOL & Hardening Guide

Vulnérabilités Node.js & Express en 2026 : 16 CVE, EOL Node 20 & Guide de Durcissement

Node.js patched 16 CVEs in Q1 2026 — CVE-2026-21637 crashes TLS servers with a single malformed SNI packet (High), CVE-2026-21710 brings down HTTP servers via a __proto__ header (High), CVE-2026-4867/4923 bring ReDoS back to Express routing. Node.js 20 reached EOL April 30, 2026. Full hardening guide with helmet.js and express-rate-limit.

Node.js a corrigé 16 CVE au T1 2026 — CVE-2026-21637 crashe les serveurs TLS avec un seul paquet SNI mal formé (High), CVE-2026-21710 fait tomber les serveurs HTTP via un header __proto__ (High), CVE-2026-4867/4923 réintroduisent le ReDoS dans le routage Express. Node.js 20 en fin de vie le 30 avril 2026. Guide de durcissement complet avec helmet.js et express-rate-limit.

May 2026 Mai 2026 Read Lire

Java Java

Maven & Gradle Security Vulnerabilities in 2026: CVE-2026-34477, MavenGate & the Log4j Problem That Won’t Die

Vulnérabilités Maven & Gradle en 2026 : CVE-2026-34477, MavenGate & le Problème Log4j qui Persiste

CVE-2026-34477 silently ignores Log4j TLS hostname verification since v2.12.0 — enabling MITM on SMTP/Socket/Syslog appenders. 13% of Log4j downloads in 2025 were still vulnerable. MavenGate shows 6,170 Maven Central dependency domains are open to hijacking. OWASP Dependency-Check integration guide for Maven and Gradle.

CVE-2026-34477 ignore silencieusement la vérification TLS de Log4j depuis la v2.12.0 — activant les attaques MITM sur les appenders SMTP/Socket/Syslog. 13 % des téléchargements Log4j en 2025 étaient encore vulnérables. MavenGate : 6 170 domaines de dépendances Maven Central ouverts au détournement. Guide OWASP Dependency-Check pour Maven et Gradle.

May 2026 Mai 2026 Read Lire

Rust / Cargo Rust / Cargo

Rust & Cargo Security Vulnerabilities in 2026: CVE-2026-33055 (Archive Smuggling), CVE-2026-33056 (Symlink chmod) & cargo audit Guide

Vulnérabilités Sécurité Rust & Cargo en 2026 : CVE-2026-33055 (Smuggling d’Archives), CVE-2026-33056 (Symlink chmod) & Guide cargo audit

Rust 1.94.1 (March 2026) patches two tar-rs CVEs: CVE-2026-33056 allows directory permission takeover via symlink following (CVSS 5.1), CVE-2026-33055 enables archive smuggling via PAX header parser differential (CVSS 7.3). Full cargo audit + cargo-deny guide and Cargo.lock security checklist.

Rust 1.94.1 (mars 2026) corrige deux CVE tar-rs : CVE-2026-33056 permet la prise de contrôle des permissions de répertoires via symlink (CVSS 5.1), CVE-2026-33055 active le smuggling d’archives via différentiel de parseur PAX (CVSS 7.3). Guide cargo audit + cargo-deny complet et checklist Cargo.lock.

May 2026 Mai 2026 Read Lire

Go / Golang Go / Golang

Go / Golang Security Vulnerabilities in 2026: CVE-2026-27140 (Code Execution), crypto/x509 DoS & govulncheck Guide

Vulnérabilités Go / Golang en 2026 : CVE-2026-27140 (Exécution de Code), DoS crypto/x509 & Guide govulncheck

Go 1.26.2 (April 2026) patches 4 CVEs: CVE-2026-27140 allows arbitrary code execution in cmd/go via crafted SWIG files. CVE-2026-32280 & 32281 trigger DoS in crypto/x509 certificate verification. CVE-2026-32283 deadlocks TLS 1.3 connections. govulncheck guide + go.sum hardening checklist.

Go 1.26.2 (avril 2026) corrige 4 CVE : CVE-2026-27140 permet l'exécution de code arbitraire dans cmd/go via des fichiers SWIG. CVE-2026-32280 & 32281 déclenchent un DoS dans la vérification des certificats crypto/x509. CVE-2026-32283 bloque les connexions TLS 1.3. Guide govulncheck + checklist go.sum.

May 2026 Mai 2026 Read Lire