Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 22
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| IBM | Db2 | CVE-2025-30065 | 10 (NVD) | Exécution de code arbitraire à distance | 29/05/2025 | Pas d'information | CERTFR-2025-AVI-0467 | https://www.ibm.com/support/pages/node/7235042 |
| Debian | Noyau Linux | CVE-2024-38541 | 9.8 (CISA-ADP) | Non spécifié | 30/05/2025 | Pas d'information | CERTFR-2025-AVI-0463 | https://lists.debian.org/debian-lts-announce/2025/05/msg00045.html |
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Palo Alto Networks | PAN-OS | CVE-2025-0133 | 6.9 | Atteinte à la confidentialité des données, Atteinte à l'intégrité des données, Injection de code indirecte à distance (XSS) | 15/05/2025 | Code d'exploitation public | https://security.paloaltonetworks.com/CVE-2025-0133 |
