Analyse Patch Tuesday Mars 2026

79 CVE, dont 3 critiques

Le Patch Tuesday de mars corrige 79 CVE, dont trois sont considérées comme critiques et 76 comme importantes. Deux CVE ont été divulguées publiquement ce mois-ci, mais aucune n’a été exploitée. Microsoft a également publié une mise à jour Edge qui corrige neuf CVE de Chrome. Les divulgations publiques incluent une vulnérabilité de déni de service dans .NET et une élévation de privilèges dans SQL Server. Les deux divulgations sont classées comme « Unproven » en termes de maturité du code d’exploitation, ce qui indique qu’elles ne comportent pas d’exemples de code.

Adobe et Mozilla ont publié des mises à jour dans le cadre du Patch Tuesday de mars, dont huit mises à jour d’Adobe corrigeant au total 80 CVE, dont 21 sont classées Critiques. Mozilla Firefox 148.0.2 a été publié et corrige trois CVE de gravité élevée.

Vulnérabilités divulguées publiquement par Microsoft

Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans SQL Server (CVE-2026-21262). Cette vulnérabilité est classée Importante par Microsoft avec un score CVSS v3.1 de 8,8, mais elle a été divulguée publiquement. Un attaquant réussissant à exploiter cette vulnérabilité pourrait obtenir les privilèges sysadmin SAL. Cette vulnérabilité concerne SQL Server 2016 et les versions ultérieures.

Microsoft a corrigé une vulnérabilité de déni de service dans .NET (CVE-2026-26127). Cette vulnérabilité est classée Importante par Microsoft et a un score CVSS v3.1 de 7,5, mais elle a été divulguée publiquement. Un attaquant pourrait provoquer une lecture hors limites dans .NET, ce qui permettrait à un attaquant non autorisé de provoquer un déni de service sur le réseau. Cette vulnérabilité concerne .NET 9 et 10 sur Windows, Mac OS et Linux, ainsi que les packages NuGet 9 et 10.

Vulnérabilités tierces

Adobe a publié huit mises à jour ce mois-ci corrigeant un total de 80 CVE, dont 21 sont classées Critiques. Adobe Commerce est la priorité la plus élevée ce mois-ci avec une priorité de niveau 2. Les autres produits concernés incluent Adobe Illustrator, Substance 3D Painter, Acrobat et Acrobat Reader, Premiere Pro, Experience Manager, Substance 3D Stager, et DNG SDK.

Mozilla a publié une mise à jour pour Firefox 148.0.2, corrigeant trois vulnérabilités de gravité élevée.

Liste des tâches pour la mise à jour de mars

Les mises à jour du système d’exploitation Microsoft et d’Office permettront de corriger la majorité des CVE concernées ce mois-ci en deux opérations simples.

Mozilla Firefox, Microsoft Edge et Google Chrome étant mis à jour fréquemment, il est recommandé de donner la priorité à la mise à jour des navigateurs de façon hebdomadaire, voire quotidienne, afin de réduire les risques de manière continue tout en minimisant l’impact.

Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr

• Microsoft Patch Tuesday Août 2025
• Microsoft Patch Tuesday Octobre 2025
• Microsoft Patch Tuesday Novembre 2025
• Microsoft Patch Tuesday Janvier 2026
• Microsoft Patch Tuesday Février 2026