## CVE-2026-33186 : un slash manquant dans :path HTTP/2 contourne les ACL de gRPC-Go (CVSS 9.1)
Une vulnérabilité critique a été documentée dans gRPC-Go. Identifiée sous le код CVE-2026-33186, la faille repose sur un slash manquants dans l'en-tête HTTP/2 `:path`, permettant de contourner les listes de contrôle d'accès (ACL) du framework. L'absence de ce caractère dans le chemin de requête suffit à invalider les vérifications d'autorisation, exposant potentiellement des services bâtis sur gRPC-Go à des accès non autorisés.

Le score CVSS attribue à cette vulnérabilité la note de 9.1 sur 10, traduisant une sévérité critique. L'impact potentiel sur la confidentialité et l'intégrité des systèmes concernés est maximal. Cependant, l'indice EPSS (Exploit Prediction Scoring System) s'établit à 0 %, situant la probabilité d'exploitation active dans un registre essentiellement théorique à court terme. Le score « Indice de Panique » associé dans le billet SOURCE monte à 4,1/10, reflétant un équilibre entre dangerosité technique et现实风险 réels.

La base de données vulnerability.circl.lu a référencé l'entrée. La mention « Ticket Jira créé, jamais assigné » suggérée dans la publication laisse entrevoir un scénario de remédiation potentiellement reportée — un schéma récurrent pour les vulnérabilités à faible probabilité d'exploitation immédiate. Les équipes utilisant gRPC-Go en production demeurent toutefois invitées à évaluer l'exposition de leurs ACL face à ce cas précis de parsing de chemin HTTP/2, indépendamment du score EPSS faible.
---
- **Source**: Mastodon:mastodon.social:#infosec
- **Sector**: The Lab
- **Tags**: CVE-2026-33186, gRPC-Go, ACL, HTTP/2, bypass
- **Credibility**: unverified
- **Published**: 2026-05-16 08:48:33
- **ID**: 83780
- **URL**: https://whisperx.ai/en/intel/83780