Multiple Microsoft CVEs Allow Code Execution, Elevation
Summary
CERT-FR issued advisory CERTFR-2026-AVI-0445 notifying of 22 Microsoft security vulnerabilities affecting products including Microsoft Defender, Microsoft Dynamics 365, Microsoft HPC Pack, Microsoft Power Apps, Microsoft SharePoint (multiple versions), Microsoft SQL Server (2016-2025), and Microsoft Visual Studio. Affected systems risk data confidentiality breaches, security policy bypass, remote code execution, denial of service, and privilege elevation. Microsoft has released patches and updates to address these vulnerabilities.
What changed
CERT-FR published security advisory CERTFR-2026-AVI-0445 detailing 22 Microsoft CVEs affecting products across Microsoft's portfolio including Microsoft Defender Antimalware Platform, Microsoft Dynamics 365, Microsoft HPC Pack, Microsoft Power Apps, multiple SharePoint Server versions, Microsoft SQL Server versions 2016 through 2025, and Microsoft Visual Studio. Additionally, third-party packages azl3 golang, azl3 libexif, azl3 libpng, and azl3 rubygem-addressable are affected. The vulnerabilities pose risks including data confidentiality breaches, security policy bypass, remote code execution, denial of service, and privilege elevation.
Organizations running affected Microsoft products should immediately review and apply the available patches referenced in the associated Microsoft security bulletins. Security teams should prioritize patching Microsoft Defender, SharePoint Server, and SQL Server installations given their widespread deployment in enterprise environments. The advisory covers vulnerabilities with severity ratings including remote code execution and elevation of privilege, requiring immediate attention from IT security personnel.
What to do next
- Apply available patches and updates to affected Microsoft products
- Review Microsoft security bulletins CVE-2026-33810, CVE-2026-35611, CVE-2026-34757, CVE-2026-20945, CVE-2026-21637, CVE-2026-23653, CVE-2026-26143, CVE-2026-26149, CVE-2026-32167, CVE-2026-32176, CVE-2026-32178, CVE-2026-32184, CVE-2026-32201, CVE-2026-32203, CVE-2026-32631, CVE-2026-33103, CVE-2026-33120, CVE-2026-33825, CVE-2026-40385, and CVE-2026-40386
- Monitor for further updates from CERT-FR and Microsoft
Archived snapshot
Apr 15, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
Premier Ministre S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 avril 2026 N° CERTFR-2026-AVI-0445 Affaire suivie par: CERT-FR
Avis du CERT-FR
Objet: Multiples vulnérabilités dans les produits Microsoft
Gestion du document
| Référence | CERTFR-2026-AVI-0445 |
| Titre | Multiples vulnérabilités dans les produits Microsoft |
| Date de la première version | 15 avril 2026 |
| Date de la dernière version | 15 avril 2026 |
| Source(s) | Bulletin de sécurité Microsoft CVE-2026-33810 du 11 avril 2026
Bulletin de sécurité Microsoft CVE-2026-35611 du 11 avril 2026
Bulletin de sécurité Microsoft CVE-2026-34757 du 12 avril 2026
Bulletin de sécurité Microsoft CVE-2026-20945 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-21637 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-23653 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-26143 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-26149 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-32167 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-32176 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-32178 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-32184 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-32201 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-32203 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-32631 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-33103 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-33120 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-33825 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-40385 du 14 avril 2026
Bulletin de sécurité Microsoft CVE-2026-40386 du 14 avril 2026 |
Une gestion de version détaillée se trouve à la fin de ce document.
Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Non spécifié par l'éditeur
- Élévation de privilèges
Systèmes affectés
- azl3 golang 1.25.8-1 versions antérieures à 1.25.9-1
- azl3 golang 1.26.1-1 versions antérieures à 1.26.2-1
- azl3 libexif 0.6.24-2 versions antérieures à 0.6.24-3
- azl3 libpng 1.6.56-1 versions antérieures à 1.6.57-1
- azl3 rubygem-addressable 2.8.5-2 versions antérieures à 2.9.0-1
- Microsoft Defender Antimalware Platform versions antérieures à 4.18.26030.3011
- Microsoft Dynamics 365 (on-premises) version 9.0 antérieures à 9.1.0044.0015
- Microsoft HPC Pack 2019 versions antérieures à 6.3.8355
- Microsoft Power Apps versions antérieures à 3.26032.10.0
- Microsoft SharePoint Enterprise Server 2016 versions antérieures à 16.0.5548.1003
- Microsoft SharePoint Server 2019 versions antérieures à 16.0.10417.20114
- Microsoft SharePoint Server Subscription Edition versions antérieures à 16.0.19725.20210
- Microsoft SQL Server 2016 pour systèmes x64 Service Pack 3 (GDR) versions antérieures à 13.0.6485.1
- Microsoft SQL Server 2016 pour systèmes x64 Service Pack 3 Azure Connect Feature Pack versions antérieures à 13.0.7080.1
- Microsoft SQL Server 2017 pour systèmes x64 (CU 31) versions antérieures à 14.0.3525.1
- Microsoft SQL Server 2017 pour systèmes x64 (GDR) versions antérieures à 14.0.2105.1
- Microsoft SQL Server 2019 pour systèmes x64 (CU 32) versions antérieures à 15.0.4465.1
- Microsoft SQL Server 2019 pour systèmes x64 (GDR) versions antérieures à 15.0.2165.1
- Microsoft SQL Server 2022 pour systèmes x64 (CU 24) versions antérieures à 16.0.4250.1
- Microsoft SQL Server 2022 pour systèmes x64 (GDR) versions antérieures à 16.0.1175.1
- Microsoft SQL Server 2025 pour systèmes x64 (CU3) versions antérieures à 17.0.4030.1
- Microsoft SQL Server 2025 pour systèmes x64 (GDR) versions antérieures à 17.0.1110.1
- Microsoft Visual Studio 2017 version 15.9 (inclus 15.0 - 15.8) antérieures à 15.9.79
- Microsoft Visual Studio 2019 version 16.11 (inclus 16.0 - 16.10) antérieures à 16.11.55
- Microsoft Visual Studio 2019 version 16.4 (inclus 16.0 - 16.3) antérieures à 16.11.55
- Microsoft Visual Studio 2022 version 17.12 antérieures à 17.12.19
- Microsoft Visual Studio 2022 version 17.14 antérieures à 17.14.30
- Microsoft Visual Studio Code CoPilot Chat Extension versions antérieures à 0.37.3
- PowerShell 7.4 versions antérieures à 7.4.14
- PowerShell 7.5 versions antérieures à 7.5.5
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Microsoft. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.
Microsoft indique que la vulnérabilité CVE-2026-32201 est activement exploitée.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft CVE-2026-33810 du 11 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33810
- Bulletin de sécurité Microsoft CVE-2026-35611 du 11 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-35611
- Bulletin de sécurité Microsoft CVE-2026-34757 du 12 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-34757
- Bulletin de sécurité Microsoft CVE-2026-20945 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20945
- Bulletin de sécurité Microsoft CVE-2026-21637 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21637
- Bulletin de sécurité Microsoft CVE-2026-23653 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23653
- Bulletin de sécurité Microsoft CVE-2026-26143 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26143
- Bulletin de sécurité Microsoft CVE-2026-26149 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26149
- Bulletin de sécurité Microsoft CVE-2026-32167 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32167
- Bulletin de sécurité Microsoft CVE-2026-32176 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32176
- Bulletin de sécurité Microsoft CVE-2026-32178 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32178
- Bulletin de sécurité Microsoft CVE-2026-32184 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32184
- Bulletin de sécurité Microsoft CVE-2026-32201 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201
- Bulletin de sécurité Microsoft CVE-2026-32203 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32203
- Bulletin de sécurité Microsoft CVE-2026-32631 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32631
- Bulletin de sécurité Microsoft CVE-2026-33103 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33103
- Bulletin de sécurité Microsoft CVE-2026-33120 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33120
- Bulletin de sécurité Microsoft CVE-2026-33825 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825
- Bulletin de sécurité Microsoft CVE-2026-40385 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40385
- Bulletin de sécurité Microsoft CVE-2026-40386 du 14 avril 2026
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40386
- Référence CVE CVE-2026-20945
- https://www.cve.org/CVERecord?id=CVE-2026-20945
- Référence CVE CVE-2026-21637
- https://www.cve.org/CVERecord?id=CVE-2026-21637
- Référence CVE CVE-2026-23653
- https://www.cve.org/CVERecord?id=CVE-2026-23653
- Référence CVE CVE-2026-26143
- https://www.cve.org/CVERecord?id=CVE-2026-26143
- Référence CVE CVE-2026-26149
- https://www.cve.org/CVERecord?id=CVE-2026-26149
- Référence CVE CVE-2026-32167
- https://www.cve.org/CVERecord?id=CVE-2026-32167
- Référence CVE CVE-2026-32176
- https://www.cve.org/CVERecord?id=CVE-2026-32176
- Référence CVE CVE-2026-32178
- https://www.cve.org/CVERecord?id=CVE-2026-32178
- Référence CVE CVE-2026-32184
- https://www.cve.org/CVERecord?id=CVE-2026-32184
- Référence CVE CVE-2026-32201
- https://www.cve.org/CVERecord?id=CVE-2026-32201
- Référence CVE CVE-2026-32203
- https://www.cve.org/CVERecord?id=CVE-2026-32203
- Référence CVE CVE-2026-32631
- https://www.cve.org/CVERecord?id=CVE-2026-32631
- Référence CVE CVE-2026-33103
- https://www.cve.org/CVERecord?id=CVE-2026-33103
- Référence CVE CVE-2026-33120
- https://www.cve.org/CVERecord?id=CVE-2026-33120
- Référence CVE CVE-2026-33810
- https://www.cve.org/CVERecord?id=CVE-2026-33810
- Référence CVE CVE-2026-33825
- https://www.cve.org/CVERecord?id=CVE-2026-33825
- Référence CVE CVE-2026-34757
- https://www.cve.org/CVERecord?id=CVE-2026-34757
- Référence CVE CVE-2026-35611
- https://www.cve.org/CVERecord?id=CVE-2026-35611
- Référence CVE CVE-2026-40385
- https://www.cve.org/CVERecord?id=CVE-2026-40385
- Référence CVE CVE-2026-40386
- https://www.cve.org/CVERecord?id=CVE-2026-40386
Gestion détaillée du document
- le 15 avril 2026 Version initiale
Related changes
Get daily alerts for CERT-FR Security Advisories
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from CERT-FR.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when CERT-FR Security Advisories publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.