S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 mai 2025
N° CERTFR-2025-ACT-021
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-021

Gestion du document

Référence CERTFR-2025-ACT-021
Titre Bulletin d'actualité CERTFR-2025-ACT-021
Date de la première version19 mai 2025
Date de la dernière version19 mai 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 20

Tableau récapitulatif :

Vulnérabilités critiques du 12/05/25 au 18/05/25
Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
SAP NetWeaver CVE-2025-31324 10 (NVD) Exécution de code arbitraire à distance 13/05/2025 Exploitée CERTFR-2025-AVI-0396
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
Fortinet FortiMail, FortiVoice, FortiCamera, FortiRecorder, FortiNDR CVE-2025-32756 9.8 (NVD) Exécution de code arbitraire à distance 13/05/2025 Exploitée CERTFR-2025-AVI-0399
https://www.fortiguard.com/psirt/FG-IR-25-254
SAP NetWeaver CVE-2025-42999 9.1 (NVD) Exécution de code arbitraire à distance 13/05/2025 Exploitée CERTFR-2025-AVI-0396
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
Microsoft Windows CVE-2025-30400 7.8 (NVD) Élévation de privilèges 13/05/2025 Exploitée CERTFR-2025-AVI-0405
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30400
Microsoft Windows CVE-2025-32701 7.8 (NVD) Élévation de privilèges 13/05/2025 Exploitée CERTFR-2025-AVI-0405
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32701
Microsoft Windows CVE-2025-32706 7.8 (NVD) Contournement de la politique de sécurité 13/05/2025 Exploitée CERTFR-2025-AVI-0405
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32706
Microsoft Windows CVE-2025-32709 7.8 (NVD) Élévation de privilèges 13/05/2025 Exploitée CERTFR-2025-AVI-0405
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32709
Microsoft Windows CVE-2025-30397 7.5 (NVD) Contournement de la politique de sécurité, Exécution de code arbitraire à distance 13/05/2025 Exploitée CERTFR-2025-AVI-0405
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30397
Ivanti Endpoint Manager Mobile (EPMM) CVE-2025-4428 7.2 (NVD) Exécution de code arbitraire à distance 13/05/2025 Exploitée CERTFR-2025-AVI-0400
https://www.ivanti.com/blog/epmm-security-update
Ivanti Endpoint Manager Mobile (EPMM) CVE-2025-4427 5.3 (NVD) Contournement de la politique de sécurité 13/05/2025 Exploitée CERTFR-2025-AVI-0400
https://www.ivanti.com/blog/epmm-security-update
Google Chrome CVE-2025-4664 4.3 (NVD) Atteinte à la confidentialité des données, Contournement de la politique de sécurité 15/05/2025 Exploitée CERTFR-2025-AVI-0412
https://chromereleases.googleblog.com/2025/05/stable-channel-update-for-desktop_14.html
Microsoft Edge CVE-2025-4664 4.3 (NVD) Atteinte à la confidentialité des données, Contournement de la politique de sécurité 15/05/2025 Exploitée CERTFR-2025-AVI-0418
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-4664
Siemens SIMATIC IPC RS-828A CVE-2024-54085 10 (NVD) Contournement de la politique de sécurité 13/05/2025 Pas d'information CERTFR-2025-AVI-0397
https://cert-portal.siemens.com/productcert/html/ssa-446307.html
Juniper Networks Secure Analytics CVE-2019-12900 9.8 (NVD) Non spécifié 14/05/2025 Pas d'information CERTFR-2025-AVI-0401
https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03
Juniper Networks Secure Analytics CVE-2018-12699 9.8 (NVD) Déni de service à distance, Non spécifié 13/05/2025 Pas d'information CERTFR-2025-AVI-0401
https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03
Juniper Networks Secure Analytics CVE-2023-37920 9.8 (NVD) Contournement de la politique de sécurité 13/05/2025 Pas d'information CERTFR-2025-AVI-0401
https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03
Ivanti Neurons CVE-2025-22462 9.8 (NVD) Contournement de la politique de sécurité 13/05/2025 Pas d'information CERTFR-2025-AVI-0403
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-on-premises-only-CVE-2025-22462
Microsoft Azure CVE-2025-30387 9.8 (NVD) Élévation de privilèges 13/05/2025 Pas d'information CERTFR-2025-AVI-0407
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30387
Juniper Networks Secure Analytics CVE-2024-29736 9.1 (NVD) Falsification de requêtes côté serveur (SSRF) 13/05/2025 Pas d'information CERTFR-2025-AVI-0401
https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03
Siemens CPC80 Central Processing/Communication, CPCI85 Central Processing/Communication, POWER METER SICAM Q100 family, POWER METER SICAM Q200 family CVE-2024-3596 9 (NVD) Contournement de la politique de sécurité 13/05/2025 Pas d'information CERTFR-2025-AVI-0397
https://cert-portal.siemens.com/productcert/html/ssa-794185.html
Mitel téléphones SIP séries 6900, téléphones SIP séries 6800, téléphones SIP séries 6900w, 6970 Conference Unit CVE-2025-47188 9.8 (éditeur) Exécution de code arbitraire à distance 06/05/2025 Pas d'information CERTFR-2025-AVI-0388
https://www.mitel.com/support/mitel-product-security-advisory-misa-2025-0004

CVE-2025-31324 et CVE-2025-42999 : Multiples vulnérabilités dans SAP Netweaver

Le 24 avril 2025, SAP a mis à jour son bulletin de sécurité du 8 avril 2024 pour inclure la vulnérabilité CVE-2025-31324 qui permet l'exécution de code arbitraire à distance pour un utilisateur non authentifié. Cette vulnérabilité est provoquée par un contournement de la politique de sécurité qui permet de télécharger des fichiers arbitraires et potentiellement exécutables sur le serveur. Elle impacte le composant Visual Composer development server, non installé par défaut mais fréquemment utilisé.

Cette vulnérabilité est activement exploitée et a fait l'objet d'une alerte CERT-FR.

Le 13 mai 2025, des chercheurs en sécurité ont déclaré que la vulnérabilité CVE-2025-42999, qui permet une exécution de code arbitraire à distance, était exploitée en combinaison avec la vulnérabilité CVE-2025-31324. Le même jour SAP a publié son avis de sécurité mensuel ainsi que de nouveaux correctifs de sécurité, dont l'éditeur recommande l'application.

Le 15 mai 2025, la CISA ajoute la vulnérabilité CVE-2025-42999 à son catalogue de vulnérabilités réputées exploitées.

Liens :

Rappel des alertes CERT-FR

Vulnérabilité dans les produits Fortinet

Le 13 mai 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2025-32756. Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance.

L'éditeur indique que cette vulnérabilité est activement exploitée. Les exploitations constatées jusqu'ici concernent les produits FortiVoice.

Fortinet fournit également des marqueurs de compromission à rechercher.

Liens :

Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (EPMM)

Le 13 mai 2025, Ivanti a publié deux avis de sécurité concernant les vulnérabilités CVE-2025-4427 et CVE-2025-4428. L'utilisation combinée de ces deux vulnérabilités permet l'exécution de code arbitraire à distance pour un utilisateur non authentifié.

Ivanti indique que ces vulnérabilités sont activement exploitées. Le 15 mai 2025, une preuve de concept a été publiée sur Internet.

Liens :

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Mdaemon Mdaemon CVE-2024-11182 5.3 Injection de code indirecte à distance (XSS) Exploitée https://files.mdaemon.com/mdaemon/beta/RelNotes_en.html
Zimbra Collaboration CVE-2024-27443 6.1 Injection de code indirecte à distance (XSS) Exploitée https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.7#Security_Fixes
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P39#Security_Fixes
Linux Linux Kernel CVE-2024-26809 5.5 Exécution de code arbitraire, Élévation de privilèges Code d'exploitation publichttps://nvd.nist.gov/vuln/detail/cve-2024-26809
Roundcube Webmail CVE-2023-43770 6.1 Injection de code indirecte à distance (XSS) Exploitée https://roundcube.net/news/2023/09/15/security-update-1.6.3-released
Telemessage Text Message Archiver CVE-2025-47729 4.9 Atteinte à la confidentialité des données Exploitée https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Draytek Vigor CVE-2025-47729 6.9 Exécution de code arbitraire à distance Exploitée https://fw.draytek.com.tw/Vigor2960/Firmware/v1.5.1.5/DrayTek_Vigor2960_V1.5.1.5_01release-note.pdf
https://fw.draytek.com.tw/Vigor300B/Firmware/v1.5.1.5/DrayTek_Vigor300B_V1.5.1.5_01release-note.pdf
https://fw.draytek.com.tw/Vigor3900/Firmware/v1.5.1.5/DrayTek_Vigor3900_V1.5.1.5_01release-note.pdf

Rappel des publications émises

Dans la période du 12 mai 2025 au 18 mai 2025, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 19 mai 2025
    Version initiale