Bulletin d'actualité CERTFR-2025-ACT-022

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 21

Tableau récapitulatif :

Vulnérabilités critiques du 19/05/25 au 25/05/25

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Asterisk	Asterisk	CVE-2025-47779	7.7 (NVD)	Contournement de la politique de sécurité	22/05/2025	Code d'exploitation public	CERTFR-2025-AVI-0446	https://github.com/asterisk/asterisk/security/advisories/GHSA-2grh-7mhv-fcfw
Grafana Labs	Grafana	CVE-2025-4123	7.6 (NVD)	Falsification de requêtes côté serveur (SSRF), Injection de code indirecte à distance (XSS)	23/05/2025	Code d'exploitation public	CERTFR-2025-AVI-0440 CERTFR-2025-AVI-0447	https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/ https://grafana.com/blog/2025/05/23/grafana-security-release-medium-and-high-severity-security-fixes-for-cve-2025-4123-and-cve-2025-3580/
Asterisk	Asterisk	CVE-2025-47780	4.8 (NVD)	Contournement de la politique de sécurité	22/05/2025	Code d'exploitation public	CERTFR-2025-AVI-0446	https://github.com/asterisk/asterisk/security/advisories/GHSA-c7p6-7mvq-8jq2
Adobe	ColdFusion	CVE-2025-43563	9.8 (NVD)	Élévation de privilèges	13/05/2025	Pas d'information	CERTFR-2025-AVI-0433	https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
IBM	Db2, QRadar Suite Software	CVE-2024-45337	9.1 (NVD)	Contournement de la politique de sécurité	20/05/2025	Pas d'information	CERTFR-2025-AVI-0452	https://www.ibm.com/support/pages/node/7234028
Spring	Spring Security	CVE-2025-41232	9.1 (NVD)	Contournement de la politique de sécurité	19/05/2025	Pas d'information	CERTFR-2025-AVI-0427	https://spring.io/security/cve-2025-41232
Adobe	ColdFusion	CVE-2025-43559	9.1 (NVD)	Atteinte à la confidentialité des données	13/05/2025	Pas d'information	CERTFR-2025-AVI-0433	https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
Adobe	ColdFusion	CVE-2025-43560	9.1 (NVD)	Exécution de code arbitraire à distance	13/05/2025	Pas d'information	CERTFR-2025-AVI-0433	https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
Adobe	ColdFusion	CVE-2025-43561	9.1 (NVD)	Atteinte à la confidentialité des données	13/05/2025	Pas d'information	CERTFR-2025-AVI-0433	https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
Adobe	ColdFusion	CVE-2025-43562	9.1 (NVD)	Exécution de code arbitraire à distance	13/05/2025	Pas d'information	CERTFR-2025-AVI-0433	https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html
Adobe	ColdFusion	CVE-2025-43564	9.1 (NVD)	Exécution de code arbitraire à distance	13/05/2025	Pas d'information	CERTFR-2025-AVI-0433	https://helpx.adobe.com/security/products/coldfusion/apsb25-52.html

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Mdaemon	Email Server	CVE-2024-11182	5.3	Injection de code indirecte à distance (XSS)	15/11/2024	Exploitée	https://files.mdaemon.com/mdaemon/beta/RelNotes_fr.html
Srimax	Output Messenger	CVE-2025-27920	7.2	Atteinte à la confidentialité des données, Contournement de la politique de sécurité	25/12/2024	Exploitée	https://www.outputmessenger.com/cve-2025-27920/

Vulnérabilité dans les produits Fortinet

Le 13 mai 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2025-32756. Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. L'éditeur indique que cette vulnérabilité est activement exploitée. Le 22 mai 2025, une preuve de concept affectant FortiMail a été publiée sur Internet.

Liens :

Rappel des publications émises

Dans la période du 19 mai 2025 au 25 mai 2025, le CERT-FR a émis les publications suivantes :

CERTFR-2025-AVI-0423 : Multiples vulnérabilités dans les produits Netgate
CERTFR-2025-AVI-0424 : Multiples vulnérabilités dans les produits Mozilla
CERTFR-2025-AVI-0425 : Vulnérabilité dans les produits Synology
CERTFR-2025-AVI-0426 : Vulnérabilité dans Juniper Networks Junos OS
CERTFR-2025-AVI-0427 : Vulnérabilité dans Spring Security
CERTFR-2025-AVI-0428 : Multiples vulnérabilités dans VMware Cloud Foundation
CERTFR-2025-AVI-0429 : Multiples vulnérabilités dans Typo3
CERTFR-2025-AVI-0430 : Multiples vulnérabilités dans les produits VMware
CERTFR-2025-AVI-0431 : Vulnérabilité dans Mitel OpenScapeXpressions
CERTFR-2025-AVI-0432 : Vulnérabilité dans Schneider Electric EcoStruxure Power Build Rapsody
CERTFR-2025-AVI-0433 : Multiples vulnérabilités dans Adobe ColdFusion
CERTFR-2025-AVI-0434 : Multiples vulnérabilités dans Node.js
CERTFR-2025-AVI-0435 : Multiples vulnérabilités dans les produits Atlassian
CERTFR-2025-AVI-0436 : Vulnérabilité dans ISC BIND
CERTFR-2025-AVI-0437 : Multiples vulnérabilités dans GitLab
CERTFR-2025-AVI-0438 : Multiples vulnérabilités dans les produits Cisco
CERTFR-2025-AVI-0439 : Multiples vulnérabilités dans Google Chrome
CERTFR-2025-AVI-0440 : Vulnérabilité dans Grafana
CERTFR-2025-AVI-0441 : Vulnérabilité dans Mattermost Server
CERTFR-2025-AVI-0442 : Vulnérabilité dans Mozilla Firefox pour iOS
CERTFR-2025-AVI-0443 : Vulnérabilité dans VMware Avi Load Balancer
CERTFR-2025-AVI-0444 : Vulnérabilité dans OpenSSL
CERTFR-2025-AVI-0445 : Multiples vulnérabilités dans Mozilla Thunderbird
CERTFR-2025-AVI-0446 : Multiples vulnérabilités dans Asterisk
CERTFR-2025-AVI-0447 : Multiples vulnérabilités dans Grafana
CERTFR-2025-AVI-0448 : Multiples vulnérabilités dans Tenable Nessus Network Monitor
CERTFR-2025-AVI-0449 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2025-AVI-0450 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2025-AVI-0451 : Vulnérabilité dans Microsoft Edge
CERTFR-2025-AVI-0452 : Multiples vulnérabilités dans les produits IBM

Dans la période du 19 mai 2025 au 25 mai 2025, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2025-AVI-0350 : Vulnérabilité dans SAP NetWeaver

Référence	CERTFR-2025-ACT-022
Titre	Bulletin d'actualité CERTFR-2025-ACT-022
Date de la première version	26 mai 2025
Date de la dernière version	26 mai 2025
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-022

Gestion du document

Vulnérabilités significatives de la semaine 21

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

Vulnérabilité dans les produits Fortinet

Liens :

Rappel des publications émises

Gestion détaillée du document