Vulnerabilite critique dans MaxSite CMS : Mise a jour urgente requise

Contexte

Le 1er mars 2026, une faille de securite a ete identifiee dans MaxSite CMS, affectant les versions jusqu'a 109.1. Cette vulnerabilite concerne la fonction `eval` dans le fichier `application/maxsite/admin/plugins/editor_markitup/preview-ajax.php`, ce qui permet une injection de code a distance. L'exploitation de cette faille pourrait avoir des consequences graves pour les municipalites utilisant ce CMS.

Impact municipal

Les municipalites qui utilisent MaxSite CMS sont exposees a des attaques potentielles, pouvant mener a la compromission de leurs sites web. Les impacts incluent la perte de donnees, la defacement de sites et la violation de la Loi 25 sur la protection des renseignements personnels, ce qui pourrait entrainer des repercussions juridiques et une deterioration de la confiance du public.

Recommandations

Il est essentiel que les municipalites prennent les mesures suivantes pour mitiger les risques :

**Mise a jour immediate** : Les utilisateurs de MaxSite CMS doivent mettre a jour vers la version 109.2, qui corrige cette vulnerabilite. Le patch est identifie par le hash `08937a3c5d672a242d68f53e9fccf8a748820ef3`.

**Audits de securite** : Realiser un audit de securite des systemes afin de verifier l'absence d'intrusions potentielles.

**Sensibilisation des equipes** : Informer les equipes TI sur cette faille et les meilleures pratiques en matiere de securite.

Conclusion

La faille CVE-2026-3395 constitue une menace significative pour les municipalites utilisant MaxSite CMS. La mise a jour doit etre considerée comme une priorité afin de proteger les infrastructures et les donnees sensibles des citoyens. Pour en savoir plus sur la gestion des failles de securite, consultez les recommandations de la CNESST et du MAMH.