Les adeptes de la solution AdGuard Home sont invités à patcher leur instance : une faille de sécurité critique permettant de contourner l’authentification a été patchée. Quels sont les risques ? Comment se protéger ? Voici l’essentiel à savoir.

Ce que l’on sait sur la CVE-2026-32136

Pour rappel, la solution AdGuard Home est massivement déployée sur les réseaux des particuliers afin de bloquer les publicités, les traqueurs et les domaines malveillants à l’échelle de tout un réseau local (au fait, un tuto ça vous dit ?).

Cette application est concernée par un problème de sécurité : une nouvelle vulnérabilité, associée à la référence CVE-2026-32136 a été découverte. Elle est considérée comme critique, avec un score CVSS de 9.8 sur 10. Et pour cause, elle permet de contourner l’authentification de l’application AdGuard Home, le tout à distance et sans être authentifié.

“Un attaquant distant non authentifié peut contourner toutes les mesures d’authentification d’AdGuardHome en envoyant une requête HTTP/1.1 demandant une mise à niveau vers le protocole HTTP/2 en texte clair (h2c).”, précise le bulletin de sécurité.

Lorsqu’une requête d’upgrade de ce type est envoyée vers un point de terminaison public, comme , le middleware d’authentification la laissait passer en toute confiance. C’est à ce moment-là que la magie noire opérait : le gestionnaire h2c détournait alors la connexion TCP sous-jacente pour la confier à un serveur HTTP/2 interne qui, de son côté, n’effectuait aucune vérification au niveau de l’authentification. Résultat des courses : l’attaquant peut devenir administrateur de la solution !

Quels sont les risques ?

Mandreko, le chercheur à l’origine de cette vulnérabilité, a publié une preuve de concept (PoC) démontrant qu’il était très facile pour un attaquant d’exploiter cette faille de sécurité. Mais alors, que peut faire un attaquant une fois qu’il a pris le contrôle d’une instance AdGuard Home ?

On peut citer plusieurs risques compte tenu de la fonction assurée par cette solution :

• Exfiltration de données personnelles : l’attaquant peut consulter l’historique complet des requêtes DNS ainsi que l’inventaire des appareils connectés au réseau, ce qui peut révéler les habitudes de navigation de tous les utilisateurs du réseau.
• Détournement du trafic : il devient possible de modifier les serveurs DNS en amont pour les faire pointer vers une infrastructure contrôlée par les pirates, ce qui ouvre la voie à des interceptions de trafic et des attaques par hijacking DNS.
• Verrouillage du serveur : l’attaquant peut aussi décider de verrouiller l’instance AdGuard Home en réinitialisant le mot de passe administrateur de la victime.

Comment se protéger ?

Découverte le 8 mars dernier, cette faille a été corrigée le 10 mars 2026 à l’occasion de la sortie de la version v0.107.73. Vous devez donc installer cette version.

Une action de remédiation est également spécifiée : “Sinon, si la prise en charge de h2c n’est pas nécessaire, la suppression totale de h2c.NewHandler permettrait d’éliminer la surface d’attaque. HTTP/2 sur TLS (h2) n’est pas concerné par cette vulnérabilité.”, précise le bulletin de sécurité.

Tous les détails sont disponibles sur cette page GitHub.