On Fri, May 08, 2026 at 02:19:19PM +0200, Jérémy Lal <[email protected]> wrote a message of 79 lines which said:
> La vulnérabilité suppose qu'on peut se logger sur la machine avec un > utilisateur normal. > Cela concerne donc aussi tous les services réseau qui sont susceptibles > d'avoir une vulnérabilité RCE (Remote Code Execution). > Par exemple, un PHP mal configuré + cette faille = root sur la machine. Oui, tout à fait. Et donc, il est trompeur de dire que l'exploitation nécessite « qu'on peut se logger sur la machine avec un utilisateur normal ». Nul besoin d'un compte shell classique. Si vous n'avez pas mis à jour Apache contre CVE-2026-23918 (arrivé dans Debian stable hier ou avant-hier), l'attaquant peut exécuter du code *puis* passer root avec DirtyFrag.
