lundi 22 juin 2026

Digest court

Catégorie calme. Aucune release majeure dans les dernières 48 h. Angular 22, stable depuis le 3 juin (ère signal-first : Signal Forms, httpResource, selectorless, zoneless par défaut), poursuit son cycle de patches 22.0.x. L'écosystème est en phase de digestion : la communauté se concentre sur les migrations OnPush-only et le passage à TypeScript 6, déjà couverts ce mois-ci. Rien de neuf et non déjà traité ne justifie un mini-cours aujourd'hui — on reste honnête plutôt que de gonfler le digest.

Top 1 — État de l'écosystème

• Angular 22 en maintenance : ligne 22.0.x, pas de fonctionnalité nouvelle cette semaine ; le gros (Signal Forms, selectorless, MCP CLI) est sorti début juin.
• À surveiller : prochaines mineures et retours terrain sur la migration zoneless ; rien de bloquant signalé.

→ Journée calme : pas d'analyse détaillée aujourd'hui (_detail.md non généré, conformément à la règle « pas de détail vide »).

Digest court

Catégorie calme côté .NET/C#. On est dans le creux entre deux temps forts : .NET 11 Preview 5 est sorti le 10 juin (C# closed hierarchies, union types, unsafe explicite — déjà traités), et la Preview 6 n'est pas encore publiée. Les mises à jour de servicing de juin (.NET 8/9/10) ont été livrées et couvertes le 11. Aucune nouveauté primaire non déjà vue dans les 48 h : pas de release, pas de breaking change, pas de CVE .NET fraîche. On reste honnête et on ne fabrique pas de détail.

Top 1 — État du cycle

• Entre Preview 5 et Preview 6 : prochaine préversion .NET 11 attendue début juillet ; rien de neuf cette semaine.
• Servicing à jour : correctifs de juin appliqués ; pense à valider que tes SDK/runtime sont sur la dernière révision.

→ Journée calme : pas d'analyse détaillée aujourd'hui (_detail.md non généré, conformément à la règle « pas de détail vide »).

Digest court

Journée portée par l'efficience plutôt que par le gigantisme. Sina Weibo publie VibeThinker-3B, un dense de 3B qui prétend raisonner au niveau de modèles 100× plus gros sur les tâches vérifiables (maths, code), relançant le débat sur la fiabilité des benchmarks. poolside ouvre ses premiers modèles, Laguna M.1 (225B MoE) et XS.2 (33B/3B actifs), en Apache 2.0 et taillés pour le coding agentique. Côté serving, vLLM 0.23.0 bascule sur CUDA 13.0 par défaut et muscle le pipeline-parallel. Le fil rouge : du frontier-level qui tient sur peu de GPU, et que tu peux héberger.

Top 3 — Releases open-weight et serving

• VibeThinker-3B (Weibo) : 3B dense, post-entraînement « Spectrum-to-Signal », 94,3 sur AIME26 et 80,2 sur LiveCodeBench v6.
• poolside Laguna M.1 + XS.2 : MoE coding agentique en Apache 2.0 ; XS.2 (3B actifs) tient sur un seul GPU, 44,5 % SWE-Bench Pro.
• vLLM 0.23.0 : binaires CUDA 13.0 par défaut, FP8 affiné, pipeline-parallel amélioré pour servir GLM-5.2 et consorts.

À noter aussi : llama.cpp a intégré le decoding spéculatif MTP en mainline, et les portages GGUF/FP8 de GLM-5.2 et Qwen3.6 continuent d'affluer côté local.

→ Analyse complète : 2026-06-22_detail.md

Digest court

Semaine dominée par la sécurité, sur trois angles complémentaires. Une SSRF dans Docker Model Runner (CVE-2026-33990) montre comment l'outillage IA crée de nouvelles surfaces d'attaque : un registre OCI piégé fait fuiter tes credentials cloud. FortiBleed expose près de 74 000 identifiants VPN Fortinet sans aucun 0-day, par simple credential spraying ciblé — le rappel que la réutilisation de mots de passe et l'absence de MFA suffisent. Enfin, Cisco Catalyst SD-WAN Manager (CVE-2026-20262) est exploité en zero-day : un upload mal validé mène à un déploiement .war et au root. Trois histoires, une morale : valider les entrées, isoler, imposer la MFA.

Top 3 — Failles et fuites à traiter

• Docker Model Runner SSRF (CVE-2026-33990) : realm OCI non validé → requêtes vers le réseau interne. Corrigé en Model Runner 1.1.25 / Docker Desktop 4.67.0.
• FortiBleed : ~74 000 VPN Fortinet exposés via spraying + cassage GPU ; alerte de durcissement CISA. Pas de CVE, juste de l'hygiène ratée.
• Cisco SD-WAN Manager (CVE-2026-20262) : path traversal → dépôt .war sur WildFly → RCE/root, exploité en attaques ciblées.

→ Analyse complète : 2026-06-22_detail.md