Les concurrents du Pwn2Own Berlin 2026 empochent 385 750 dollars le deuxième jour. Ils exploitent quinze vulnérabilités zero-day inédites sur divers produits, tels que Windows 11, Microsoft Exchange et Red Hat Enterprise Linux for Workstations.
Ce concours de piratage se déroule à la conférence OffensiveCon du 14 au 16 mai. Il cible les technologies d’entreprise et l’intelligence artificielle.
Les chercheurs en sécurité gagnent plus d’un million de dollars en prizes et argent liquide. Ils attaquent des produits entièrement patchés dans les catégories navigateur web, applications d’entreprise, environnements cloud et conteneurs, virtualisation, escalade de privilèges locaux, serveurs, inférence locale et modèles de langage large.
Les règles exigent que les appareils visés tournent sous les versions les plus récentes des systèmes d’exploitation. Chaque démonstration prouve une compromission complète avec exécution de code arbitraire. Les éditeurs disposent de quatre-vingt-dix jours pour corriger leurs logiciels et matériels une fois les failles révélées.
Cheng-Da Tsai, dit Orange Tsai du DEVCORE Research Team, remporte la palme avec 200 000 dollars. Il enchaîne trois failles pour une exécution de code à distance avec privilèges SYSTEM sur Microsoft Exchange.
Siyeon Wi touche 7 500 dollars grâce à un débordement d’entier sur Windows 11. Ben Koo de Team DDOS escalade les privilèges jusqu’au niveau root sur Red Hat Enterprise Linux for Workstations et empoche 10 000 dollars. 0xDACA et Noam Trobishi exploitent une faille use-after-free dans le NVIDIA Container Toolkit.
Dans la catégorie intelligence artificielle, Le Duc Anh Vu de Viettel Cyber Security pirate l’agent de codage Cursor AI pour 30 000 dollars. Sina Kheirkhah de Summoning Team révèle une zero-day sur OpenAI Codex et gagne 20 000 dollars. Compass Security attaque aussi Cursor pour 15 000 dollars.
Le premier jour, Orange Tsai ajoute 175 000 dollars à son palmarès. Il combine quatre failles logiques pour une évasion du bac à sable de Microsoft Edge. Valentina Palmiotti, dite chompie chez IBM X-Force Offensive Research, obtient le root sur Red Hat Linux for Workstations pour 20 000 dollars et une zero-day sur le NVIDIA Container Toolkit pour 50 000 dollars.
Trois attaques touchent Windows 11 ce jour-là. Angelboy et TwinkleStar03, du programme de stage DEVCORE, touchent 30 000 dollars. Kentaro Kawane de GMO Cybersecurity empoche la même somme, de même que Marcin Wiązowski. Chacun démontre une zero-day d’escalade de privilèges inédite.
Le troisième jour, les pirates visent Microsoft Windows 11, VMware ESXi, Red Hat Enterprise Linux, Microsoft SharePoint et plusieurs agents de codage IA.
L’édition précédente de Pwn2Own Berlin distribue 1 078 750 dollars pour vingt-neuf zero-days et quelques collisions de bugs.