Bulletin d'actualité CERTFR-2025-ACT-021 (19 mai 2025)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 20

Tableau récapitulatif :

Vulnérabilités critiques du 12/05/25 au 18/05/25

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
SAP	NetWeaver	CVE-2025-31324	10 (NVD)	Exécution de code arbitraire à distance	13/05/2025	Exploitée	CERTFR-2025-AVI-0396	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
Fortinet	FortiMail, FortiVoice, FortiCamera, FortiRecorder, FortiNDR	CVE-2025-32756	9.8 (NVD)	Exécution de code arbitraire à distance	13/05/2025	Exploitée	CERTFR-2025-AVI-0399	https://www.fortiguard.com/psirt/FG-IR-25-254
SAP	NetWeaver	CVE-2025-42999	9.1 (NVD)	Exécution de code arbitraire à distance	13/05/2025	Exploitée	CERTFR-2025-AVI-0396	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
Microsoft	Windows	CVE-2025-30400	7.8 (NVD)	Élévation de privilèges	13/05/2025	Exploitée	CERTFR-2025-AVI-0405	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30400
Microsoft	Windows	CVE-2025-32701	7.8 (NVD)	Élévation de privilèges	13/05/2025	Exploitée	CERTFR-2025-AVI-0405	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32701
Microsoft	Windows	CVE-2025-32706	7.8 (NVD)	Contournement de la politique de sécurité	13/05/2025	Exploitée	CERTFR-2025-AVI-0405	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32706
Microsoft	Windows	CVE-2025-32709	7.8 (NVD)	Élévation de privilèges	13/05/2025	Exploitée	CERTFR-2025-AVI-0405	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32709
Microsoft	Windows	CVE-2025-30397	7.5 (NVD)	Contournement de la politique de sécurité, Exécution de code arbitraire à distance	13/05/2025	Exploitée	CERTFR-2025-AVI-0405	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30397
Ivanti	Endpoint Manager Mobile (EPMM)	CVE-2025-4428	7.2 (NVD)	Exécution de code arbitraire à distance	13/05/2025	Exploitée	CERTFR-2025-AVI-0400	https://www.ivanti.com/blog/epmm-security-update
Ivanti	Endpoint Manager Mobile (EPMM)	CVE-2025-4427	5.3 (NVD)	Contournement de la politique de sécurité	13/05/2025	Exploitée	CERTFR-2025-AVI-0400	https://www.ivanti.com/blog/epmm-security-update
Google	Chrome	CVE-2025-4664	4.3 (NVD)	Atteinte à la confidentialité des données, Contournement de la politique de sécurité	15/05/2025	Exploitée	CERTFR-2025-AVI-0412	https://chromereleases.googleblog.com/2025/05/stable-channel-update-for-desktop_14.html
Microsoft	Edge	CVE-2025-4664	4.3 (NVD)	Atteinte à la confidentialité des données, Contournement de la politique de sécurité	15/05/2025	Exploitée	CERTFR-2025-AVI-0418	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-4664
Siemens	SIMATIC IPC RS-828A	CVE-2024-54085	10 (NVD)	Contournement de la politique de sécurité	13/05/2025	Pas d'information	CERTFR-2025-AVI-0397	https://cert-portal.siemens.com/productcert/html/ssa-446307.html
Juniper Networks	Secure Analytics	CVE-2019-12900	9.8 (NVD)	Non spécifié	14/05/2025	Pas d'information	CERTFR-2025-AVI-0401	https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03
Juniper Networks	Secure Analytics	CVE-2018-12699	9.8 (NVD)	Déni de service à distance, Non spécifié	13/05/2025	Pas d'information	CERTFR-2025-AVI-0401	https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03
Juniper Networks	Secure Analytics	CVE-2023-37920	9.8 (NVD)	Contournement de la politique de sécurité	13/05/2025	Pas d'information	CERTFR-2025-AVI-0401	https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03
Ivanti	Neurons	CVE-2025-22462	9.8 (NVD)	Contournement de la politique de sécurité	13/05/2025	Pas d'information	CERTFR-2025-AVI-0403	https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-on-premises-only-CVE-2025-22462
Microsoft	Azure	CVE-2025-30387	9.8 (NVD)	Élévation de privilèges	13/05/2025	Pas d'information	CERTFR-2025-AVI-0407	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30387
Juniper Networks	Secure Analytics	CVE-2024-29736	9.1 (NVD)	Falsification de requêtes côté serveur (SSRF)	13/05/2025	Pas d'information	CERTFR-2025-AVI-0401	https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03
Siemens	CPC80 Central Processing/Communication, CPCI85 Central Processing/Communication, POWER METER SICAM Q100 family, POWER METER SICAM Q200 family	CVE-2024-3596	9 (NVD)	Contournement de la politique de sécurité	13/05/2025	Pas d'information	CERTFR-2025-AVI-0397	https://cert-portal.siemens.com/productcert/html/ssa-794185.html
Mitel	téléphones SIP séries 6900, téléphones SIP séries 6800, téléphones SIP séries 6900w, 6970 Conference Unit	CVE-2025-47188	9.8 (éditeur)	Exécution de code arbitraire à distance	06/05/2025	Pas d'information	CERTFR-2025-AVI-0388	https://www.mitel.com/support/mitel-product-security-advisory-misa-2025-0004

CVE-2025-31324 et CVE-2025-42999 : Multiples vulnérabilités dans SAP Netweaver

Le 24 avril 2025, SAP a mis à jour son bulletin de sécurité du 8 avril 2024 pour inclure la vulnérabilité CVE-2025-31324 qui permet l'exécution de code arbitraire à distance pour un utilisateur non authentifié. Cette vulnérabilité est provoquée par un contournement de la politique de sécurité qui permet de télécharger des fichiers arbitraires et potentiellement exécutables sur le serveur. Elle impacte le composant Visual Composer development server, non installé par défaut mais fréquemment utilisé.

Cette vulnérabilité est activement exploitée et a fait l'objet d'une alerte CERT-FR.

Le 13 mai 2025, des chercheurs en sécurité ont déclaré que la vulnérabilité CVE-2025-42999, qui permet une exécution de code arbitraire à distance, était exploitée en combinaison avec la vulnérabilité CVE-2025-31324. Le même jour SAP a publié son avis de sécurité mensuel ainsi que de nouveaux correctifs de sécurité, dont l'éditeur recommande l'application.

Le 15 mai 2025, la CISA ajoute la vulnérabilité CVE-2025-42999 à son catalogue de vulnérabilités réputées exploitées.

Liens :

Rappel des alertes CERT-FR

Vulnérabilité dans les produits Fortinet

Le 13 mai 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2025-32756. Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance.

L'éditeur indique que cette vulnérabilité est activement exploitée. Les exploitations constatées jusqu'ici concernent les produits FortiVoice.

Fortinet fournit également des marqueurs de compromission à rechercher.

Liens :

Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (EPMM)

Le 13 mai 2025, Ivanti a publié deux avis de sécurité concernant les vulnérabilités CVE-2025-4427 et CVE-2025-4428. L'utilisation combinée de ces deux vulnérabilités permet l'exécution de code arbitraire à distance pour un utilisateur non authentifié.

Ivanti indique que ces vulnérabilités sont activement exploitées. Le 15 mai 2025, une preuve de concept a été publiée sur Internet.

Liens :

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Mdaemon	Mdaemon	CVE-2024-11182	5.3	Injection de code indirecte à distance (XSS)		Exploitée	https://files.mdaemon.com/mdaemon/beta/RelNotes_en.html
Zimbra	Collaboration	CVE-2024-27443	6.1	Injection de code indirecte à distance (XSS)		Exploitée	https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.7#Security_Fixes https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P39#Security_Fixes
Linux	Linux Kernel	CVE-2024-26809	5.5	Exécution de code arbitraire, Élévation de privilèges		Code d'exploitation public	https://nvd.nist.gov/vuln/detail/cve-2024-26809
Roundcube	Webmail	CVE-2023-43770	6.1	Injection de code indirecte à distance (XSS)		Exploitée	https://roundcube.net/news/2023/09/15/security-update-1.6.3-released
Telemessage	Text Message Archiver	CVE-2025-47729	4.9	Atteinte à la confidentialité des données		Exploitée	https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Draytek	Vigor	CVE-2025-47729	6.9	Exécution de code arbitraire à distance		Exploitée	https://fw.draytek.com.tw/Vigor2960/Firmware/v1.5.1.5/DrayTek_Vigor2960_V1.5.1.5_01release-note.pdf https://fw.draytek.com.tw/Vigor300B/Firmware/v1.5.1.5/DrayTek_Vigor300B_V1.5.1.5_01release-note.pdf https://fw.draytek.com.tw/Vigor3900/Firmware/v1.5.1.5/DrayTek_Vigor3900_V1.5.1.5_01release-note.pdf

Gestion détaillée du document