Les adeptes de la solution AdGuard Home sont invités à patcher leur instance : une faille de sécurité critique permettant de contourner l’authentification a été patchée. Quels sont les risques ? Comment se protéger ? Voici l’essentiel à savoir.
Ce que l’on sait sur la CVE-2026-32136
Pour rappel, la solution AdGuard Home est massivement déployée sur les réseaux des particuliers afin de bloquer les publicités, les traqueurs et les domaines malveillants à l’échelle de tout un réseau local (au fait, un tuto ça vous dit ?).
Cette application est concernée par un problème de sécurité : une nouvelle vulnérabilité, associée à la référence CVE-2026-32136 a été découverte. Elle est considérée comme critique, avec un score CVSS de 9.8 sur 10. Et pour cause, elle permet de contourner l’authentification de l’application AdGuard Home, le tout à distance et sans être authentifié.
“Un attaquant distant non authentifié peut contourner toutes les mesures d’authentification d’AdGuardHome en envoyant une requête HTTP/1.1 demandant une mise à niveau vers le protocole HTTP/2 en texte clair (h2c).”, précise le bulletin de sécurité.
Lorsqu’une requête d’upgrade de ce type est envoyée vers un point de terminaison public, comme /control/login, le middleware d’authentification la laissait passer en toute confiance. C’est à ce moment-là que la magie noire opérait : le gestionnaire h2c détournait alors la connexion TCP sous-jacente pour la confier à un serveur HTTP/2 interne qui, de son côté, n’effectuait aucune vérification au niveau de l’authentification. Résultat des courses : l’attaquant peut devenir administrateur de la solution !
Quels sont les risques ?
Mandreko, le chercheur à l’origine de cette vulnérabilité, a publié une preuve de concept (PoC) démontrant qu’il était très facile pour un attaquant d’exploiter cette faille de sécurité. Mais alors, que peut faire un attaquant une fois qu’il a pris le contrôle d’une instance AdGuard Home ?
On peut citer plusieurs risques compte tenu de la fonction assurée par cette solution :
Exfiltration de données personnelles : l’attaquant peut consulter l’historique complet des requêtes DNS ainsi que l’inventaire des appareils connectés au réseau, ce qui peut révéler les habitudes de navigation de tous les utilisateurs du réseau.
Détournement du trafic : il devient possible de modifier les serveurs DNS en amont pour les faire pointer vers une infrastructure contrôlée par les pirates, ce qui ouvre la voie à des interceptions de trafic et des attaques par hijacking DNS.
Verrouillage du serveur : l’attaquant peut aussi décider de verrouiller l’instance AdGuard Home en réinitialisant le mot de passe administrateur de la victime.
Découverte le 8 mars dernier, cette faille a été corrigée le 10 mars 2026 à l’occasion de la sortie de la version v0.107.73. Vous devez donc installer cette version.
Une action de remédiation est également spécifiée : “Sinon, si la prise en charge de h2c n’est pas nécessaire, la suppression totale de h2c.NewHandler permettrait d’éliminer la surface d’attaque. HTTP/2 sur TLS (h2) n’est pas concerné par cette vulnérabilité.”, précise le bulletin de sécurité.
Tous les détails sont disponibles sur cette page GitHub.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.