Une gestion de version détaillée se trouve à la fin de ce document.
Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 33
Tableau récapitulatif :
Vulnérabilités critiques du 11/08/25 au 17/08/25
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Jenkins | Git Parameter | CVE-2025-53652 | 8.2 | Exécution de code arbitraire à distance | 09/07/2025 | Code d'exploitation public | https://www.jenkins.io/security/advisory/2025-07-09/#SECURITY-3419 |
| Microsoft | Excel, Publisher, Word, Powerpoint, Frontpage, Office, Access, Infopath, Excel Viewer, Outlook, Project, Onenote, Visio, Word Viewer | CVE-2007-0671 | 8.8 | Exécution de code arbitraire à distance, Non spécifié par l'éditeur | 03/02/2007 | Exploitée | https://learn.microsoft.com/en-us/security-updates/securitybulletins/2007/ms07-015 |
| Microsoft | Internet Explorer | CVE-2013-3893 | 8.8 | Exécution de code arbitraire à distance | 18/09/2013 | Exploitée | https://docs.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-080 |
| N-able | N-central | CVE-2025-8876 | 9.4 | Exécution de code arbitraire à distance | 14/08/2025 | Exploitée | https://status.n-able.com/2025/08/13/announcing-the-ga-of-n-central-2025-3-1/ |
| N-able | N-central | CVE-2025-8875 | 9.4 | Exécution de code arbitraire à distance | 14/08/2025 | Exploitée | https://status.n-able.com/2025/08/13/announcing-the-ga-of-n-central-2025-3-1/ |
| Rarlab | Winrar | CVE-2025-8088 | 8.4 | Exécution de code arbitraire | 08/08/2025 | Exploitée | https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=283&cHash=a64b4a8f662d3639dec8d65f47bc93c5 |
Multiples vulnérabilités dans le protocole Matrix
Le 14 août 2025, Matrix a publié un billet de blogue présentant les détails des modifications apportées au protocole Matrix pour corriger les vulnérabilités CVE-2025-49090 et CVE-2025-54315. Ce billet de blogue fait suite à une annonce préalable publiée le 16 juillet 2025 ainsi qu'à l'annonce, le 11 août 2025, de la sortie de versions correctives pour les principaux logiciels clients et serveurs implémentant le protocole.
Ces vulnérabilités permettent de réinitialier certaines permissions de groupe de discussions à un état antérieur, ce qui pourrait par exemple permettre à un compte de récupérer des droits qui auraient été supprimés. Matrix précise que cela ne provoque pas d'atteinte à la confidentialité des données et que seuls les serveurs engagés dans une fédération avec des serveurs qui ne sont pas considérés de confiance sont concernés, la solution Tchap n'est pas affectée.
Liens:
Rappel des publications émises
Dans la période du 11 août 2025 au 17 août 2025, le CERT-FR a émis les publications suivantes :
- CERTFR-2025-AVI-0672 : Multiples vulnérabilités dans Liferay
- CERTFR-2025-AVI-0673 : Vulnérabilité dans Centreon Gorgone
- CERTFR-2025-AVI-0674 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2025-AVI-0675 : Vulnérabilité dans Liferay
- CERTFR-2025-AVI-0676 : Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2025-AVI-0677 : Multiples vulnérabilités dans les produits Siemens
- CERTFR-2025-AVI-0678 : Multiples vulnérabilités dans les produits Adobe
- CERTFR-2025-AVI-0679 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2025-AVI-0680 : Multiples vulnérabilités dans les produits FoxIT
- CERTFR-2025-AVI-0681 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2025-AVI-0682 : Multiples vulnérabilités dans Liferay
- CERTFR-2025-AVI-0683 : Multiples vulnérabilités dans les produits Ivanti
- CERTFR-2025-AVI-0684 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2025-AVI-0685 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2025-AVI-0686 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2025-AVI-0687 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2025-AVI-0688 : Multiples vulnérabilités dans Microsoft Azure
- CERTFR-2025-AVI-0689 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2025-AVI-0690 : Multiples vulnérabilités dans GitLab
- CERTFR-2025-AVI-0691 : Vulnérabilité dans Nginx
- CERTFR-2025-AVI-0692 : Multiples vulnérabilités dans Ruby on Rails
- CERTFR-2025-AVI-0693 : Multiples vulnérabilités dans VMware Tanzu
- CERTFR-2025-AVI-0694 : Vulnérabilité dans Apache Tomcat
- CERTFR-2025-AVI-0695 : Multiples vulnérabilités dans les produits Palo Alto Networks
- CERTFR-2025-AVI-0696 : Vulnérabilité dans Spring Framework
- CERTFR-2025-AVI-0697 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
- CERTFR-2025-AVI-0698 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2025-AVI-0699 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2025-AVI-0700 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
- CERTFR-2025-AVI-0701 : Vulnérabilité dans IBM WebSphere
