Security Insights & CVE UpdatesActualités Sécurité & Mises à jour CVE

npm npm

Node.js & Express Security Vulnerabilities in 2026: 16 CVEs, Node 20 EOL & Hardening Guide

Vulnérabilités Node.js & Express en 2026 : 16 CVE, EOL Node 20 & Guide de Durcissement

Node.js patched 16 CVEs in Q1 2026 — CVE-2026-21637 crashes TLS servers with a single malformed SNI packet (High), CVE-2026-21710 brings down HTTP servers via a __proto__ header (High), CVE-2026-4867/4923 bring ReDoS back to Express routing. Node.js 20 reached EOL April 30, 2026. Full hardening guide with helmet.js and express-rate-limit.

Node.js a corrigé 16 CVE au T1 2026 — CVE-2026-21637 crashe les serveurs TLS avec un seul paquet SNI mal formé (High), CVE-2026-21710 fait tomber les serveurs HTTP via un header __proto__ (High), CVE-2026-4867/4923 réintroduisent le ReDoS dans le routage Express. Node.js 20 en fin de vie le 30 avril 2026. Guide de durcissement complet avec helmet.js et express-rate-limit.

May 2026 Mai 2026 Read Lire

Python Python

pip-audit & Poetry Security in 2026: CVE-2026-34591, pylock.toml & PyPI Trusted Publishers

Sécurité pip-audit & Poetry en 2026 : CVE-2026-34591, pylock.toml & PyPI Trusted Publishers

CVE-2026-34591 (CVSS 7.1) lets crafted wheels overwrite arbitrary files via Poetry’s wheel installer (Poetry 1.4.0–2.3.2). pip-audit 2.9.0 adds PEP 751 pylock.toml support. 132K+ PyPI packages now have provenance attestations. Full CI/CD integration guide.

CVE-2026-34591 (CVSS 7.1) permet à des wheels craftées d’écraser des fichiers arbitraires via l’installeur Poetry (1.4.0–2.3.2). pip-audit 2.9.0 ajoute le support PEP 751 pylock.toml. Plus de 132K packages PyPI ont des attestations de provenance. Guide CI/CD complet.

May 2026 Mai 2026 Read Lire

Java Java

Maven & Gradle Security Vulnerabilities in 2026: CVE-2026-34477, MavenGate & the Log4j Problem That Won’t Die

Vulnérabilités Maven & Gradle en 2026 : CVE-2026-34477, MavenGate & le Problème Log4j qui Persiste

CVE-2026-34477 silently ignores Log4j TLS hostname verification since v2.12.0 — enabling MITM on SMTP/Socket/Syslog appenders. 13% of Log4j downloads in 2025 were still vulnerable. MavenGate shows 6,170 Maven Central dependency domains are open to hijacking. OWASP Dependency-Check integration guide for Maven and Gradle.

CVE-2026-34477 ignore silencieusement la vérification TLS de Log4j depuis la v2.12.0 — activant les attaques MITM sur les appenders SMTP/Socket/Syslog. 13 % des téléchargements Log4j en 2025 étaient encore vulnérables. MavenGate : 6 170 domaines de dépendances Maven Central ouverts au détournement. Guide OWASP Dependency-Check pour Maven et Gradle.

May 2026 Mai 2026 Read Lire

Rust / Cargo Rust / Cargo

Rust & Cargo Security Vulnerabilities in 2026: CVE-2026-33055 (Archive Smuggling), CVE-2026-33056 (Symlink chmod) & cargo audit Guide

Vulnérabilités Sécurité Rust & Cargo en 2026 : CVE-2026-33055 (Smuggling d’Archives), CVE-2026-33056 (Symlink chmod) & Guide cargo audit

Rust 1.94.1 (March 2026) patches two tar-rs CVEs: CVE-2026-33056 allows directory permission takeover via symlink following (CVSS 5.1), CVE-2026-33055 enables archive smuggling via PAX header parser differential (CVSS 7.3). Full cargo audit + cargo-deny guide and Cargo.lock security checklist.

Rust 1.94.1 (mars 2026) corrige deux CVE tar-rs : CVE-2026-33056 permet la prise de contrôle des permissions de répertoires via symlink (CVSS 5.1), CVE-2026-33055 active le smuggling d’archives via différentiel de parseur PAX (CVSS 7.3). Guide cargo audit + cargo-deny complet et checklist Cargo.lock.

May 2026 Mai 2026 Read Lire

Go / Golang Go / Golang

Go / Golang Security Vulnerabilities in 2026: CVE-2026-27140 (Code Execution), crypto/x509 DoS & govulncheck Guide

Vulnérabilités Go / Golang en 2026 : CVE-2026-27140 (Exécution de Code), DoS crypto/x509 & Guide govulncheck

Go 1.26.2 (April 2026) patches 4 CVEs: CVE-2026-27140 allows arbitrary code execution in cmd/go via crafted SWIG files. CVE-2026-32280 & 32281 trigger DoS in crypto/x509 certificate verification. CVE-2026-32283 deadlocks TLS 1.3 connections. govulncheck guide + go.sum hardening checklist.

Go 1.26.2 (avril 2026) corrige 4 CVE : CVE-2026-27140 permet l'exécution de code arbitraire dans cmd/go via des fichiers SWIG. CVE-2026-32280 & 32281 déclenchent un DoS dans la vérification des certificats crypto/x509. CVE-2026-32283 bloque les connexions TLS 1.3. Guide govulncheck + checklist go.sum.

May 2026 Mai 2026 Read Lire

Ruby / Rails Ruby / Rails

Ruby on Rails Security Vulnerabilities in 2026: 9 CVEs in One Day, CVE-2026-33195 (CVSS 8.0) & Hardening Guide

Vulnérabilités Ruby on Rails en 2026 : 9 CVE en Un Jour, CVE-2026-33195 (CVSS 8.0) & Guide de Durcissement

Rails patched 9 CVEs on March 23, 2026 — CVE-2026-33195 Active Storage path traversal (CVSS 8.0), glob injection, 3× XSS, 2× DoS, ReDoS. CVE-2026-35611 Addressable ReDoS flagged by Microsoft. Rails 7.0 & 7.1 permanently unpatched. Full hardening guide.

Rails a corrigé 9 CVE le 23 mars 2026 — CVE-2026-33195 traversal Active Storage (CVSS 8.0), injection glob, 3× XSS, 2× DoS, ReDoS. CVE-2026-35611 Addressable ReDoS signalé par Microsoft. Rails 7.0 & 7.1 vulnérables en permanence. Guide de durcissement complet.

May 2026 Mai 2026 Read Lire

Java Java

Spring Security Vulnerabilities in 2026: CVE-2026-22732 (CVSS 9.1), 30 CVEs in 60 Days & Developer Hardening Guide

Vulnérabilités Spring Security en 2026 : CVE-2026-22732 (CVSS 9.1), 30 CVE en 60 Jours & Guide de Durcissement

30 Spring CVEs in March–April 2026 — nearly double all of 2025. CVE-2026-22732 (CVSS 9.1) silently drops HTTP security headers across 6 version branches. CVE-2026-22752 (CVSS 9.6) enables stored XSS & SSRF via OAuth2. Full patch guide with version matrix.

30 CVE Spring en mars–avril 2026 — quasiment le double de toute l’année 2025. CVE-2026-22732 (CVSS 9.1) supprime silencieusement les en-têtes de sécurité HTTP sur 6 branches. CVE-2026-22752 (CVSS 9.6) active XSS stocké & SSRF via OAuth2. Guide de patch complet avec matrice de versions.

May 2026 Mai 2026 Read Lire

Python Python

Python Requests & urllib3 Security in 2026: CVE-2025-66471, CVE-2026-21441 & The Decompression Bomb Chain

Sécurité Python Requests & urllib3 en 2026 : CVE-2025-66471, CVE-2026-21441 & La Chaîne des Bombes de Décompression

CVE-2025-66471 (CVSS 8.9) crashes Python apps via decompression bombs in the streaming API. CVE-2026-21441 (CVSS 7.5) bypasses the fix via HTTP redirects — urllib3 2.6.0–2.6.2 users still affected. 200M+ downloads/week. Full upgrade guide, vulnerable code patterns, and SSRF defense.

CVE-2025-66471 (CVSS 8.9) crashe les apps Python via des bombes de décompression dans l’API streaming. CVE-2026-21441 (CVSS 7.5) contourne le correctif via les redirections HTTP — urllib3 2.6.0–2.6.2 toujours affecté. 200M+ téléchargements/semaine. Guide de mise à niveau complet, patterns vulnérables et défense SSRF.

April 2026 Avril 2026 Read Lire

Python Python

Django ORM Security in 2026: SQL Injection via QuerySet, CVE-2025-64459 & How to Harden Your App

Sécurité ORM Django en 2026 : Injection SQL via QuerySet, CVE-2025-64459 & Guide de Durcissement

CVE-2025-64459 (CVSS 9.1) lets attackers bypass auth via Django’s filter() — no raw SQL needed. CVE-2026-1312 injects via order_by() + FilteredRelation. Django 4.2 LTS is now end-of-life. Full ORM security guide with vulnerable patterns, patched versions, and automated detection.

CVE-2025-64459 (CVSS 9.1) permet de contourner l’auth via filter() de Django — sans SQL brut. CVE-2026-1312 injecte via order_by() + FilteredRelation. Django 4.2 LTS est en fin de vie. Guide complet avec patterns vulnérables, versions corrigées et détection automatisée.

April 2026 Avril 2026 Read Lire

npm npm

Vite.js Security Vulnerabilities in 2026: CVE-2025-30208, CISA KEV & The Recurring WebSocket File Read Problem

Vulnérabilités Vite.js en 2026 : CVE-2025-30208, CISA KEV & Le Problème Récurrent de Lecture de Fichiers via WebSocket

4 file-read CVEs in Vite’s dev server in 18 months. CVE-2025-31125 added to CISA KEV January 2026 — active exploitation confirmed. CVE-2026-39363 CVSS 8.2 bypasses all HTTP access controls via WebSocket. Full developer guide with verified data.

4 CVE de lecture de fichiers dans le serveur de développement Vite en 18 mois. CVE-2025-31125 ajoutée au CISA KEV en janvier 2026 — exploitation active confirmée. CVE-2026-39363 CVSS 8.2 contourne tous les contrôles d’accès HTTP via WebSocket. Guide complet avec données vérifiées.

April 2026 Avril 2026 Read Lire

npm npm

npm Semver Vulnerabilities & Range Exploits in 2026: ^1.0.0 Risks, CVE-2022-25883 & Defense Guide

Vulnérabilités Semver npm en 2026 : Risques ^1.0.0, CVE-2022-25883 & Guide de Défense

The semver package gets 643M downloads/week — CVE-2022-25883 cascaded to thousands of packages. Caret ranges let attackers slip malicious minor versions past your lockfile. Full 2026 guide with real incidents and verified data.

Le package semver reçoit 643M téléchargements/semaine — CVE-2022-25883 a cascadé vers des milliers de packages. Les ranges caret permettent aux attaquants de glisser des versions mineures malveillantes dans votre lockfile. Guide complet 2026.

April 2026 Avril 2026 Read Lire

npm npm

npm Self-Propagating Worms in 2026: CanisterWorm, Bitwarden CLI & How TeamPCP Turns Developers into Malware Vectors

Vers Auto-Propagants npm en 2026 : CanisterWorm, Bitwarden CLI & Comment TeamPCP Transforme les Développeurs en Vecteurs de Malware

April 22, 2026: CanisterWorm backdoored Namastex npm packages while @bitwarden/cli@2026.4.0 was live on npm for 93 minutes. Both attacks by TeamPCP. How self-propagating worms steal tokens, infect dozens of packages in minutes, and how to protect your stack.

Le 22 avril 2026 : CanisterWorm backdooré les packages npm de Namastex pendant que @bitwarden/cli@2026.4.0 était en ligne 93 minutes. Les deux attaques par TeamPCP. Comment les vers auto-propagants voléent les tokens et infectent des dizaines de packages en minutes.

April 2026 Avril 2026 Read Lire