Une gestion de version détaillée se trouve à la fin de ce document.
Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 12
Tableau récapitulatif :
Vulnérabilités critiques du 17/03/25 au 23/03/25
CVE-2025-23120 : Vulnérabilité dans Veeam Backup & Replication
Le 19 mars 2025, Veeam a publié un avis de sécurité concernant la vulnérabilité CVE-2025-23120. Celle-ci permet l'exécution de code arbitraire à distance, notamment pour l'ensemble des utilisateurs d'un domaineActive Directorysi la solution Veeam Backup & Replication est connectée à celui-ci. Une preuve de concept est disponible.Liens :
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| SAP | SAP NetWeaver Application Server | CVE-2017-12637 | 7.5 | Contournement de la politique de sécurité | 07/08/2017 | Exploitée | |
| tj-actions | changed-files | CVE-2025-30066 | 8.6 | Exécution de code arbitraire à distance | 15/03/2025 | Exploitée | |
| Fortinet | FortiOS, FortiProxy | CVE-2025-24472 | 9.8 | Contournement de la politique de sécurité, Élévation de privilèges | 11/02/2025 | Exploitée | https://fortiguard.fortinet.com/psirt/FG-IR-24-535 |
| Microsoft | Partner Center | CVE-2025-29814 | 9.3 | Élévation de privilèges | 20/03/2025 | Pas d'information | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29814 |
CVE-2025-24813 : Vulnérabilité dans Apache Tomcat
Le 10 mars 2025, Apache a indiqué avoir corrigé la vulnérabilité CVE-2025-24813 dans les versions 9.0.99, 11.0.3 et 10.1.35. Cette vulnérabilité permet une exécution de code arbitraire. La vulnérabilité n'est applicable que dans des configurations particulières, non activées par défaut et détaillées dans les notes de version de l'éditeur. Le CERT-FR a connaissance de preuves de concept publiques, relatives à des cas de tests minimaux et à des tentatives d'utilisations de ces preuves de concept.Liens :
- https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.3
- https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.35
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.99
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0200/
- https://www.cve.org/CVERecord?id=CVE-2025-24813
Problème de sécurité dans Microsoft Windows
Le 18 mars 2025, le CERT-FR a pris connaissance de détails relatifs à un problème de sécurité affectant Microsoft Windows et lié au format de fichier LNK. D'après les chercheurs qui ont publié les détails de ce comportement, Microsoft a indiqué qu'il ne s'agissait pas d'une vulnérabilité.Le CERT-FR rappelle qu'il est important de suivre certaines bonnes pratiques relatives à la cybersécurité. Il est notamment fortement déconseillé de cliquer sur un lien, une pièce jointe ou un exécutable douteux.
Lien :
Rappel des publications émises
Dans la période du 17 mars 2025 au 23 mars 2025, le CERT-FR a émis les publications suivantes :
- CERTFR-2025-AVI-0215 : Multiples vulnérabilités dans VMware Tanzu Gemfire
- CERTFR-2025-AVI-0216 : Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2025-AVI-0217 : Multiples vulnérabilités dans Mattermost Server
- CERTFR-2025-AVI-0218 : Multiples vulnérabilités dans Atlassian Jira
- CERTFR-2025-AVI-0219 : Multiples vulnérabilités dans GLPI
- CERTFR-2025-AVI-0220 : Vulnérabilité dans Mattermost Server
- CERTFR-2025-AVI-0221 : Multiples vulnérabilités dans HPE Aruba Networking AOS-CX
- CERTFR-2025-AVI-0222 : Vulnérabilité dans MongoDB C Driver
- CERTFR-2025-AVI-0223 : Multiples vulnérabilités dans Suricata
- CERTFR-2025-AVI-0224 : Multiples vulnérabilités dans les produits Synology
- CERTFR-2025-AVI-0225 : Vulnérabilité dans Drupal
- CERTFR-2025-AVI-0226 : Vulnérabilité dans Google Chrome
- CERTFR-2025-AVI-0227 : Vulnérabilité dans Liferay
- CERTFR-2025-AVI-0228 : Multiples vulnérabilités dans Spring Security
- CERTFR-2025-AVI-0229 : Vulnérabilité dans Veeam Backup & Replication
- CERTFR-2025-AVI-0230 : Vulnérabilité dans Tenable Nessus Agent
- CERTFR-2025-AVI-0231 : Vulnérabilité dans Microsoft Office
- CERTFR-2025-AVI-0232 : Vulnérabilité dans Liferay
- CERTFR-2025-AVI-0233 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2025-AVI-0234 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2025-AVI-0235 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
