Une gestion de version détaillée se trouve à la fin de ce document.
Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 22
Tableau récapitulatif :
Vulnérabilités critiques du 26/05/25 au 01/06/25
| Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| IBM | Db2 | CVE-2025-30065 | 10 (NVD) | Exécution de code arbitraire à distance | 29/05/2025 | Pas d'information | CERTFR-2025-AVI-0467 |
https://www.ibm.com/support/pages/node/7235042 |
| Debian | Noyau Linux | CVE-2024-38541 | 9.8 (CISA-ADP) | Non spécifié | 30/05/2025 | Pas d'information | CERTFR-2025-AVI-0463 |
https://lists.debian.org/debian-lts-announce/2025/05/msg00045.html |
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Palo Alto Networks | PAN-OS | CVE-2025-0133 | 6.9 | Atteinte à la confidentialité des données, Atteinte à l'intégrité des données, Injection de code indirecte à distance (XSS) | 15/05/2025 | Code d'exploitation public | https://security.paloaltonetworks.com/CVE-2025-0133 |
CVE-2025-20188 : Vulnérabilité dans Cisco IOS XE
Le 7 mai 2025, Cisco a publié un avis de sécurité concernant la vulnérabilité CVE-2025-20188. Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Le CERT-FR a connaissance de codes d'exploitation publics pour cette vulnérabilité.Liens :
Rappel des publications émises
Dans la période du 26 mai 2025 au 01 juin 2025, le CERT-FR a émis les publications suivantes :
- CERTFR-2025-AVI-0453 : Multiples vulnérabilités dans les produits Mattermost
- CERTFR-2025-AVI-0454 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2025-AVI-0455 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2025-AVI-0456 : Multiples vulnérabilités dans Citrix et Xen
- CERTFR-2025-AVI-0457 : Vulnérabilité dans Traefik
- CERTFR-2025-AVI-0458 : Multiples vulnérabilités dans Curl
- CERTFR-2025-AVI-0459 : Multiples vulnérabilités dans ISC Kea DHCP
- CERTFR-2025-AVI-0460 : Vulnérabilité dans Spring Cloud Gateway Server
- CERTFR-2025-AVI-0461 : Vulnérabilité dans Apache Tomcat
- CERTFR-2025-AVI-0462 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2025-AVI-0463 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
- CERTFR-2025-AVI-0464 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2025-AVI-0465 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2025-AVI-0466 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2025-AVI-0467 : Multiples vulnérabilités dans IBM Db2
Dans la période du 26 mai 2025 au 01 juin 2025, le CERT-FR a mis à jour les publications suivantes :
- CERTFR-2025-AVI-0401 : Multiples vulnérabilités dans Juniper Networks Secure Analytics
