Une gestion de version détaillée se trouve à la fin de ce document.
Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 13
Tableau récapitulatif :
Vulnérabilités critiques du 24/03/25 au 30/03/25
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| VMware | Tanzu | CVE-2024-47875 | 10 | Injection de code indirecte à distance (XSS) | 26/03/2025 | Pas d'information | CERTFR-2025-AVI-0243 |
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25543 |
| Microsoft | Azure | CVE-2025-1974 | 9.8 | Exécution de code arbitraire à distance, Atteinte à la confidentialité des données | 24/03/2025 | Pas d'information | CERTFR-2025-AVI-0239 |
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-1974 |
| Microsoft | Edge | CVE-2025-2783 | 8.3 | Non spécifié par l'éditeur | 26/03/2025 | Exploitée | CERTFR-2025-AVI-0247 |
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-2783 |
| Chrome | CVE-2025-2783 | 8.3 | Non spécifié par l'éditeur | 26/03/2025 | Exploitée | CERTFR-2025-AVI-0241 |
https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html | |
| Mozilla | Firefox, Firefox ESR | CVE-2025-2857 | 10 | Contournement de la politique de sécurité | 27/03/2025 | Pas d'information | CERTFR-2025-AVI-0251 |
https://www.mozilla.org/en-US/security/advisories/mfsa2025-19/ |
CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513 et CVE-2025-24514 : Multiples vulnérabilités dans le contrôleur Ingress NGINX pour Kubernetes
Ces vulnérabilités permettent à un attaquant non authentifié d'exécuter du code arbitraire à distance via l'injection d'une configuration NGINX arbitraire. Elles sont corrigées dans les versions v1.12.1 et v1.11.5 d'ingress-nginx.Le CERT-FR a connaissance de preuves de concept disponibles sur Internet.
Lien :
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Reviewdog | action-composite-template, action-setup, action-typos, action-ast-grep, action-staticcheck, action-shellcheck | CVE-2025-30154 | 8.6 | Atteinte à la confidentialité des données | Exploitée | https://github.com/reviewdog/reviewdog/security/advisories/GHSA-qmg3-hpqr-gqvc |
|
| Sitecore | cms | CVE-2019-9875 | 8.8 | Exécution de code arbitraire à distance, Injection de requêtes illégitimes par rebond (CSRF) | Exploitée | https://dev.sitecore.net/Downloads.aspx | |
| Sitecore | cms, experience_platform | CVE-2019-9874 | 9.8 | Exécution de code arbitraire à distance, Injection de requêtes illégitimes par rebond (CSRF) | Exploitée | https://dev.sitecore.net/Downloads.aspx | |
| Palo Alto Networks | Cortex XDR Agent | CVE-2024-8690 | 5.6 | Contournement de la politique de sécurité | 11/09/2024 | Code d'exploitation public | https://security.paloaltonetworks.com/CVE-2024-8690 |
| Laravel | framework | CVE-2024-13918 | 8 | Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité | Code d'exploitation public | https://github.com/laravel/framework/releases/tag/v11.36.0 | |
| Laravel | framework | CVE-2024-13919 | 8 | Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité | Code d'exploitation public | https://github.com/laravel/framework/releases/tag/v11.36.0 | |
| Microsoft | Windows | CVE-2025-24071 | 7.5 | Atteinte à la confidentialité des données, Contournement de la politique de sécurité | 11/03/2025 | Exploitée | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071 |
CVE-2025-31161 : Vulnérabilité dans CrushFTP
La vulnérabilité CVE-2025-31161 affecte CrushFTP et permet à un attaquant de contourner l'authentification. Une preuve de concept est disponible publiquement.Cette vulnérabilité a porté l'identifiant CVE-2025-2825 dans un premier temps.
Lien :
Rappel des publications émises
Dans la période du 24 mars 2025 au 30 mars 2025, le CERT-FR a émis les publications suivantes :
- CERTFR-2025-AVI-0236 : Vulnérabilité dans Qnap NAKIVO Backup & Replication
- CERTFR-2025-AVI-0237 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2025-AVI-0238 : Multiples vulnérabilités dans Laravel
- CERTFR-2025-AVI-0239 : Multiples vulnérabilités dans Microsoft Azure Kubernetes Service
- CERTFR-2025-AVI-0240 : Vulnérabilité dans les produits VMware
- CERTFR-2025-AVI-0241 : Vulnérabilité dans Google Chrome
- CERTFR-2025-AVI-0242 : Multiples vulnérabilités dans Moodle
- CERTFR-2025-AVI-0243 : Multiples vulnérabilités dans VMware Tanzu Gemfire
- CERTFR-2025-AVI-0244 : Vulnérabilité dans Exim
- CERTFR-2025-AVI-0245 : Multiples vulnérabilités dans les produits Splunk
- CERTFR-2025-AVI-0246 : Vulnérabilité dans Mitel MiContact Center Business
- CERTFR-2025-AVI-0247 : Vulnérabilité dans Microsoft Edge
- CERTFR-2025-AVI-0248 : Multiples vulnérabilités dans GitLab
- CERTFR-2025-AVI-0249 : Vulnérabilité dans StormShield Network Security
- CERTFR-2025-AVI-0250 : Multiples vulnérabilités dans StormShield Network Security
- CERTFR-2025-AVI-0251 : Vulnérabilité dans Mozilla Firefox
- CERTFR-2025-AVI-0252 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2025-AVI-0253 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2025-AVI-0254 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
- CERTFR-2025-AVI-0255 : Multiples vulnérabilités dans les produits IBM
