WHAT ARE YOU LOOKING FOR?

Bulletin d'actualité CERTFR-2025-ACT-022 (26 mai 2025)

News thread Affichages : 466

Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 21

Tableau récapitulatif :

Vulnérabilités critiques du 19/05/25 au 25/05/25

Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Asterisk Asterisk CVE-2025-47779 7.7 (NVD) Contournement de la politique de sécurité 22/05/2025 Code d'exploitation public CERTFR-2025-AVI-0446
 https://github.com/asterisk/asterisk/security/advisories/GHSA-2grh-7mhv-fcfw
Grafana Labs Grafana CVE-2025-4123 7.6 (NVD) Falsification de requêtes côté serveur (SSRF), Injection de code indirecte à distance (XSS) 23/05/2025 Code d'exploitation public CERTFR-2025-AVI-0440
CERTFR-2025-AVI-0447		 https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/
https://grafana.com/blog/2025/05/23/grafana-security-release-medium-and-high-severity-security-fixes-for-cve-2025-4123-and-cve-2025-3580/
Asterisk Asterisk CVE-2025-47780 4.8 (NVD) Contournement de la politique de sécurité 22/05/2025 Code d'exploitation public CERTFR-2025-AVI-0446
 https://github.com/asterisk/asterisk/security/advisories/GHSA-c7p6-7mvq-8jq2
Adobe ColdFusion CVE-2025-43563 9.8 (NVD) Élévation de privilèges 13/05/2025 Pas d'information CERTFR-2025-AVI-0433
 https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
IBM Db2, QRadar Suite Software CVE-2024-45337 9.1 (NVD) Contournement de la politique de sécurité 20/05/2025 Pas d'information CERTFR-2025-AVI-0452
 https://www.ibm.com/support/pages/node/7234028
Spring Spring Security CVE-2025-41232 9.1 (NVD) Contournement de la politique de sécurité 19/05/2025 Pas d'information CERTFR-2025-AVI-0427
 https://spring.io/security/cve-2025-41232
Adobe ColdFusion CVE-2025-43559 9.1 (NVD) Atteinte à la confidentialité des données 13/05/2025 Pas d'information CERTFR-2025-AVI-0433
 https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
Adobe ColdFusion CVE-2025-43560 9.1 (NVD) Exécution de code arbitraire à distance 13/05/2025 Pas d'information CERTFR-2025-AVI-0433
 https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
Adobe ColdFusion CVE-2025-43561 9.1 (NVD) Atteinte à la confidentialité des données 13/05/2025 Pas d'information CERTFR-2025-AVI-0433
 https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
Adobe ColdFusion CVE-2025-43562 9.1 (NVD) Exécution de code arbitraire à distance 13/05/2025 Pas d'information CERTFR-2025-AVI-0433
 https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
Adobe ColdFusion CVE-2025-43564 9.1 (NVD) Exécution de code arbitraire à distance 13/05/2025 Pas d'information CERTFR-2025-AVI-0433
 https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Mdaemon Email Server CVE-2024-11182 5.3 Injection de code indirecte à distance (XSS) 15/11/2024 Exploitée https://files.mdaemon.com/mdaemon/beta/RelNotes_fr.html
Srimax Output Messenger CVE-2025-27920 7.2 Atteinte à la confidentialité des données, Contournement de la politique de sécurité 25/12/2025 Exploitée https://www.outputmessenger.com/cve-2025-27920/

Vulnérabilité dans les produits Fortinet

Le 13 mai 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2025-32756. Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. L'éditeur indique que cette vulnérabilité est activement exploitée. Le 22 mai 2025, une preuve de concept affectant FortiMail a été publiée sur Internet.

Liens :

Rappel des publications émises

Dans la période du 19 mai 2025 au 25 mai 2025, le CERT-FR a émis les publications suivantes :

Dans la période du 19 mai 2025 au 25 mai 2025, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

Image
Back To Top

Pensée du jour :

Ce que l'homme a fait ,

l'homme peut le défaire.

 

"No secure path in the world"

Category

Popular Sections

About