Introduction
Récemment, Fluid Attacks a signalé une vulnérabilité d’escalade de privilèges locaux (CVE-2026-2638) par le biais d’une divulgation responsable, affectant les versions 77.0 à 77.5 du site web X-VPN pour macOS. Nous avons pris le rapport au sérieux, reproduit le problème en interne et publié le correctif dans la version 77.5.1 du site web X-VPN pour macOS. Notre examen interne a confirmé que le problème ne se trouvait pas dans le tunnel VPN de X-VPN, le protocole de cryptage, le système de comptes ou l’infrastructure serveur, et qu’aucune autre plateforme ou version de X-VPN en dehors de la plage de sites web macOS affectée n’était impactée. Aucune exploitation dans la nature n’a été observée. Les utilisateurs des versions affectées doivent mettre à jour dès que possible.
Dans un esprit de transparence et de responsabilité, nous partagerons les détails de la vulnérabilité, son étendue et les actions que nous avons prises.
Table of Contents
Nos principales conclusions
CVE-2026-2638 est une vulnérabilité d’escalade de privilèges locaux affectant le site web X-VPN macOS (la version autonome macOS téléchargée depuis xvpn.io) versions 77.0-77.5. Un problème d’escalade de privilèges locaux signifie que, dans des conditions locales spécifiques, un utilisateur ou un processus avec des permissions limitées sur le même appareil pourrait obtenir un accès de niveau administrateur. X-VPN a corrigé ce problème dans la version 77.5.1 et ultérieure du site web X-VPN macOS.
La vulnérabilité provient de la fonctionnalité Protection des téléchargements de la version du site X-VPN macOS (trouvée sous Sécurité → Protection du navigateur → Protection des téléchargements), qui analyse les fichiers téléchargés, met en quarantaine ceux qui semblent dangereux et les restaure sur demande. Étant donné que la mise en quarantaine et la restauration des fichiers impliquent l’écriture dans des emplacements protégés par les autorisations système de macOS, certaines parties de cette fonctionnalité s’exécutent avec des autorisations de niveau administrateur.
CVE-2026-2638 était un défaut dans la manière dont cette partie au niveau administrateur de la fonctionnalité vérifiait l’identité des fichiers à travers les étapes de scan, de quarantaine et de restauration, ce qui pouvait permettre à un programme local malveillant de rediriger une opération privilégiée vers un fichier autre que celui prévu. Une explication détaillée est fournie dans What Is CVE-2026-2638.
Ce n’était pas une attaque réseau à distance et cela n’a pas affecté le tunnel VPN, le protocole de cryptage, le système de compte ou l’infrastructure serveur de X-VPN. La version de X-VPN sur le Mac App Store et X-VPN pour Windows, iOS, Android, Linux, Routeur, TV, Extension Chrome, Chromebook et Consoles de jeux n’ont pas été affectés.
Les utilisateurs exécutant les versions 77.0-77.5 du site web X-VPN pour macOS doivent mettre à jour vers la version 77.5.1 ou ultérieure dès maintenant.
Les faits clés sont résumés ci-dessous :
Article | Déclaration officielle |
|---|---|
CVE ID | CVE-2026-2638 |
Statut | Fixé |
Versions affectées | X-VPN version site macOS 77.0–77.5 |
Version corrigée | X-VPN version de site macOS 77.5.1 et ultérieure |
Version non affectée | X-VPN version Mac App Store/ Windows/ iOS/ Android/ Linux/ Routeur/ TV/ Extension Chrome/ Chromebook/ Consoles de jeux |
Type de vulnérabilité | Élévation de privilèges locale |
Gravité | CVSS v4.0 score 7.3, Élevé |
Statut d’exploitation | Sur la base des données actuellement disponibles, nous ne sommes pas au courant d’une exploitation de ce problème dans la nature ; aucun rapport d’utilisateur connexe n’a été reçu. |
Action de l’utilisateur | Mettre à jour la version du site web X-VPN macOS à la version 77.5.1 et ultérieure. |
Qu’est-ce que CVE-2026-2638 ?
Pour expliquer comment CVE-2026-2638 pourrait être exploité, il est utile de d’abord examiner comment fonctionne normalement la protection des téléchargements.
La version du site X-VPN pour macOS avec la fonctionnalité Protection des téléchargements suit un processus en trois étapes : elle analyse les nouveaux fichiers téléchargés, met en quarantaine les fichiers qui semblent suspects et les restaure lorsqu’une action de restauration est demandée. Pour identifier quel fichier elle traite à chaque étape, la fonctionnalité suit le fichier par son emplacement sur le Mac : son chemin d’accès. La vulnérabilité provenait de cela : la fonctionnalité faisait confiance au chemin d’accès du fichier seul pour continuer à pointer vers le même fichier à travers les trois étapes, sans vérifier de manière indépendante le contenu réel du fichier.
Dans une utilisation normale, c’est une hypothèse raisonnable, les chemins de fichiers ne changent généralement pas entre les opérations. Mais dans deux conditions spécifiques, cette hypothèse pourrait être exploitée :
1
2
La première condition soulève une question naturelle : d’où viendrait un tel programme malveillant en premier lieu ? Cela vaut la peine d’être brièvement abordé, car la réponse montre également ce dont CVE-2026-2638 est, et n’est pas, responsable.
D’où vient le programme malveillant
Un programme malveillant pourrait se retrouver sur un appareil par l’un des moyens habituels, par exemple, en ouvrant un e-mail de phishing, en téléchargeant et en exécutant un logiciel provenant d’une source non fiable, ou en installant une application tierce compromise. Ces chemins d’infection initiaux sont indépendants de CVE-2026-2638 lui-même.
Sur macOS, les programmes s’exécutent normalement avec les autorisations de l’utilisateur qui les a lancés. Un programme malveillant installé par ces canaux commencerait donc avec uniquement des autorisations d’utilisateur régulier, il ne pourrait pas, de lui-même, modifier des emplacements système protégés ou effectuer des actions au niveau administrateur. Obtenir un accès au niveau administrateur nécessite généralement que l’utilisateur l’autorise explicitement (comme par le biais d’une invite de mot de passe). C’est pourquoi les vulnérabilités d’escalade de privilèges locaux sont importantes : elles offrent aux attaquants un moyen de contourner cette barrière.
Les deux lacunes qui ont rendu l’attaque possible
Écart 1 : L’écart de timing (CWE-367 : Condition de course Time-Of-Check Time-Of-Use)
- La protection de téléchargement vérifie un fichier à un moment donné et agit sur celui-ci à un stade ultérieur. Il y a un bref moment entre ces deux événements. À ce moment-là, un programme malveillant, utilisant uniquement les autorisations de modification de fichier que chaque utilisateur possède déjà, pourrait échanger le fichier original contre un autre. La protection de téléchargement effectuerait alors son étape privilégiée sur le fichier échangé, et non sur le fichier qu’elle avait vérifié.
Écart 2 : L’écart de lien symbolique (CWE-59 : Résolution de lien incorrecte avant l’accès au fichier)
- macOS permet aux utilisateurs de créer ce qui est essentiellement un raccourci vers un autre fichier, un « lien symbolique ». Il ressemble et se comporte comme un fichier ordinaire, mais lorsque n’importe quel programme l’ouvre, le système redirige automatiquement vers ce que le raccourci pointe.
La vulnérabilité était que la Protection de téléchargement ne vérifiait pas si le fichier qu’elle s’apprêtait à traiter était en réalité un raccourci vers un autre emplacement. Un programme malveillant pouvait placer un tel raccourci là où la Protection de téléchargement s’apprêtait à agir, et le faire pointer vers un fichier important ailleurs sur le système. La Protection de téléchargement, qui s’exécute avec des autorisations de niveau administrateur, effectuerait alors sans le savoir son opération sur ce fichier à la place, même si ce fichier n’était jamais censé être touché.
Pourquoi cela a-t-il entraîné une élévation de privilèges ?
Dans les deux cas, le programme malveillant lui-même n’a pas directement obtenu de nouvelles autorisations. Ce qu’il a fait, c’est rediriger une opération privilégiée légitime, effectuée par Download Protection, vers un fichier que le programme malveillant n’aurait autrement pas pu modifier. En trompant Download Protection pour qu’il écrive dans un emplacement protégé par le système en son nom, le programme malveillant pouvait indirectement provoquer des modifications que seuls les processus de niveau administrateur sont normalement autorisés à effectuer.
C’est ce qui a fait de CVE-2026-2638 une élévation de privilèges locale : non pas en volant un accès de niveau administrateur, mais en trompant une opération légitime de niveau administrateur pour qu’elle fasse quelque chose qu’elle n’était jamais censée faire.
En pratique, cela signifie que le programme malveillant pourrait apporter des modifications au comportement au niveau système de l’appareil qui devraient nécessiter une autorisation d’administrateur.
Ce que n’est pas le CVE-2026-2638
- Pas de violation des serveurs X-VPN
- Pas une vulnérabilité dans le tunnel VPN, le protocole de cryptage, le système de compte ou l’infrastructure serveur.
- Ce n’est pas une attaque à distance, elle nécessite un accès local avec des privilèges faibles à l’appareil.
- Non applicable à d’autres plateformes ou à la version de l’App Store.
Comment nous l’avons réparé
La version 77.5.1 de X-VPN pour macOS renforce le flux de travail de restauration des fichiers de protection de téléchargement. Les principales améliorations incluent :
1. Vérifications de la cohérence de l’identité des fichiers
Lorsque un fichier téléchargé est analysé par la couche de protection, l’empreinte du contenu du fichier est désormais enregistrée. Si le fichier doit ensuite être mis en quarantaine, X-VPN re-vérifie si le contenu actuel du fichier correspond toujours à ce qui a été analysé.
Si le fichier a été remplacé, modifié ou autrement changé après le scan, le processus de mise en quarantaine est rejeté.
2. Validation de l’intégrité de la quarantaine
Après qu’un fichier entre en quarantaine, des informations d’intégrité sur son état de quarantaine sont enregistrées. Avant qu’un utilisateur ne restaure le fichier, X-VPN re-vérifie que le fichier en quarantaine est toujours dans son état de quarantaine enregistré.
Si le fichier mis en quarantaine a été remplacé ou modifié, l’opération de restauration est bloquée.
3. Les liens symboliques ne sont pas acceptés dans les opérations critiques.
Le flux de travail de protection des téléchargements refuse désormais de scanner ou de restaurer les fichiers de lien symbolique. Cela empêche les attaquants de rediriger les opérations de mise en quarantaine ou de restauration vers des fichiers non intentionnels via la manipulation de chemin.
Dans l’ensemble, cette correction ne repose plus uniquement sur les chemins de fichiers pour identifier le fichier sur lequel on opère. Au lieu de cela, X-VPN utilise désormais des vérifications d’intégrité de contenu en plusieurs étapes pour vérifier que les fichiers n’ont pas été remplacés ou modifiés pendant les étapes de scan, de mise en quarantaine et de restauration. Il bloque également la redirection de liens symboliques qui pourrait autrement entraîner l’application d’opérations de restauration privilégiées à des emplacements de fichiers non intentionnels.
Comprendre la gravité
CVE-2026-2638 a été noté avec un score de base CVSS v4.0 de 7.3 (Élevé), avec la chaîne de vecteur :
CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS (Common Vulnerability Scoring System) est le cadre standard de l’industrie pour évaluer la gravité des vulnérabilités de sécurité. Selon FIRST, l’organisation qui maintient la norme CVSS, CVSS mesure à quel point une vulnérabilité pourrait être grave si elle était exploitée avec succès, et non à quel point cette exploitation est réellement probable dans la pratique. Une note « Élevée » reflète donc l’ampleur des dommages que la vulnérabilité pourrait causer en cas d’exploitation réussie, et non une prédiction de la probabilité qu’elle soit exploitée contre de vrais utilisateurs.
La chaîne vectorielle ci-dessus décompose le score en plusieurs dimensions, telles que l’origine de l’attaque, les conditions qui doivent être remplies pour l’exploiter et l’impact potentiel d’une attaque réussie sur le système.
En pratique, deux attributs du vecteur expliquent pourquoi l’exploitation de CVE-2026-2638 est loin d’être simple :
- AV:L (Vecteur d’attaque : Local). L’exploitation nécessite un accès local à l’appareil. La vulnérabilité ne peut pas être déclenchée à distance via Internet.
- AT:P (Exigences d’attaque : Présent). Des conditions spécifiques doivent être remplies pour que l’attaque réussisse, y compris la capacité d’interagir avec le flux de travail de restauration du fichier de protection de téléchargement affecté et de manipuler le traitement des fichiers dans une fenêtre de temps étroite.
Par conséquent, CVE-2026-2638 doit être pris au sérieux, et les utilisateurs des versions de site web macOS affectées doivent mettre à jour vers la version 77.5.1 ou ultérieure du site web X-VPN pour macOS. Cependant, comme l’exploitation nécessite un accès local et des conditions spécifiques, cela ne met pas les utilisateurs de X-VPN à un risque immédiat et à grande échelle à distance.
Champ d’application
Le tableau ci-dessous résume quelles versions de X-VPN sont affectées par CVE-2026-2638 :
Plateformes et version | Affecté ? |
|---|---|
X-VPN site macOS versions 77.0 à 77.5 (la version autonome macOS téléchargée depuis xvpn.io) | ⚠️ Affecté — veuillez mettre à jour immédiatement |
Site X-VPN macOS, version 77.5.1 et ultérieure | ✅ Non affecté (contient la correction) |
X-VPN Mac version App Store | ✅ Non affecté |
X-VPN pour Windows / Linux / iOS / Android / TV / Routeur / Chromebook / Consoles de jeux / Extension Chrome | ✅ Non affecté |
Recommandations pour les utilisateurs
Mettez à jour vers la dernière version immédiatement
Pour vérifier votre version actuelle :
- Ouvrez l’application X-VPN sur votre MacBook.
- Cliquez sur Paramètres dans le coin inférieur gauche.
- Cliquez sur À propos de X-VPN.
- Votre version actuelle est affichée sous « X-VPN pour Mac ».
Si votre version est comprise entre 77.0 et 77.5, mettez à jour en téléchargeant la dernière version depuis notre page de téléchargement Mac.
Prochaines étapes & Contact
X-VPN reste engagé envers la sécurité des utilisateurs au-delà de ce problème spécifique. Dans le cadre de nos pratiques de sécurité continues.
- Audits de code continus et analyses de vulnérabilité : Nous examinons régulièrement notre code et effectuons des vérifications de sécurité pour identifier et résoudre les problèmes potentiels avant qu’ils n’atteignent les utilisateurs.
- Programme de Récompense de Bugs : Nous invitons les chercheurs en sécurité à soumettre des rapports de vulnérabilité responsables via notre Programme de Récompense de Bugs. Les découvertes valides et reproductibles sont éligibles à des récompenses monétaires, nous aidant à renforcer la sécurité de chaque client X-VPN.
- Canal de signalement direct : Si vous découvrez un problème de sécurité ou soupçonnez un comportement inhabituel dans X-VPN, veuillez envoyer un e-mail à security@xvpn.io. Tous les rapports sont examinés par notre équipe de sécurité.
Nous remercions Fluid Attacks pour avoir divulgué de manière responsable le CVE-2026-2638 et pour avoir collaboré avec nous tout au long du processus de divulgation coordonnée.
FAQs
Cette vulnérabilité a-t-elle été corrigée ?
Oui. La vulnérabilité a été entièrement résolue dans X-VPN pour la version 77.5.1 du site web macOS. Les utilisateurs des versions 77.0–77.5 doivent mettre à jour immédiatement.
Suis-je en danger si j’utilise X-VPN ?
Seuls les utilisateurs de macOS sur les versions téléchargées directement 77.0 à 77.5 sont concernés. Si vous êtes sur la version 77.5.1 ou ultérieure, sur la version de l’App Store, ou sur toute autre plateforme (Windows, iOS, Android, Linux, etc.), vous n’êtes pas concerné.
La protection de téléchargement est-elle activée par défaut sur la version site web de X-VPN pour macOS ?
Non. La protection de téléchargement est désactivée par défaut sur la version du site X-VPN pour macOS et doit être activée manuellement.
Comme le flux de travail vulnérable ne s’exécute que lorsque la protection de téléchargement est active, seuls les utilisateurs qui avaient explicitement activé cette fonctionnalité sur une version du site macOS affectée (77.0 à 77.5) ont été exposés à CVE-2026-2638. Les utilisateurs qui n’avaient jamais activé la protection de téléchargement n’ont pas été exposés au chemin de code vulnérable.
Cela affecte-t-il le chiffrement de mon VPN ou mes données ?
Non. La vulnérabilité est un problème d’escalade de privilèges local sur le propre appareil de l’utilisateur. Ce n’est pas dans le tunnel VPN de X-VPN, le protocole de cryptage, le système de compte ou l’infrastructure serveur.
Quelqu’un a-t-il réellement été attaqué en utilisant cette vulnérabilité ?
Nous n’avons observé aucun rapport sur l’exploitation de cette vulnérabilité dans la nature. Elle a été découverte et signalée par Fluid Attacks grâce à un processus de divulgation responsable, nous permettant de la corriger avant toute exploitation connue.
L’attaque peut-elle se produire à distance via Internet ?
Non. Exploiter cette vulnérabilité nécessite que l’attaquant ait déjà un accès local à faible privilège au MacBook de l’utilisateur. Elle ne peut pas être déclenchée à distance via le réseau ou par un site web malveillant.
Où puis-je signaler des problèmes de sécurité à X-VPN ?
Veuillez envoyer un e-mail à security@xvpn.io ou soumettre via notre Programme de Récompense de Bugs. Nous accueillons et récompensons les divulgations de sécurité responsables.
