S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 juin 2025
N° CERTFR-2025-ACT-024
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-024

Gestion du document

Référence CERTFR-2025-ACT-024
Titre Bulletin d'actualité CERTFR-2025-ACT-024
Date de la première version10 juin 2025
Date de la dernière version10 juin 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 23

Tableau récapitulatif :

Vulnérabilités critiques du 02/06/25 au 08/06/25
Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Google Chrome CVE-2025-5419 8.8 (NVD) Déni de service à distance 03/06/2025 Exploitée CERTFR-2025-AVI-0471
https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html
Microsoft Edge CVE-2025-5419 8.8 (NVD) Déni de service à distance 03/06/2025 Exploitée CERTFR-2025-AVI-0471
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-5419
Cisco Identity Services Engine CVE-2025-20286 9.9 (NVD) Atteinte à l'intégrité des données, Atteinte à la confidentialité des données, Contournement de la politique de sécurité 04/06/2025Code d'exploitation publicCERTFR-2025-AVI-0479
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-aws-static-cred-FPMjUcm7
IBM QRadar Suite Software CVE-2024-50379 9.8 (NVD) Exécution de code arbitraire à distance 03/06/2025 Pas d'information CERTFR-2025-AVI-0481
https://www.ibm.com/support/pages/node/7235402
IBM QRadar Suite Software CVE-2024-56337 9.8 (NVD) Exécution de code arbitraire à distance 03/06/2025 Pas d'information CERTFR-2025-AVI-0481
https://www.ibm.com/support/pages/node/7235402
Splunk Universal Forwarder, Splunk Enterprise CVE-2024-24790 9.8 (NVD) Contournement de la politique de sécurité 02/06/2025 Pas d'information CERTFR-2025-AVI-0473
https://advisory.splunk.com/advisories/SVD-2025-0604
https://advisory.splunk.com/advisories/SVD-2025-0603
IBM QRadar Suite Software CVE-2025-25022 9.6 (NVD) Atteinte à la confidentialité des données 03/06/2025 Pas d'information CERTFR-2025-AVI-0481
https://www.ibm.com/support/pages/node/7235432
Python CPython CVE-2025-4517 9.4 (NVD) Contournement de la politique de sécurité 03/06/2025 Pas d'information CERTFR-2025-AVI-0475
https://mail.python.org/archives/list/security-announce@python.org/thread/MAXIJJCUUMCL7ATZNDVEGGHUMQMUUKLG/
IBM QRadar Suite Software CVE-2024-45337 9.1 (NVD) Contournement de la politique de sécurité 03/06/2025 Pas d'information CERTFR-2025-AVI-0473
https://www.ibm.com/support/pages/node/7235402
Splunk Universal Forwarder, Splunk Enterprise CVE-2024-45337 9.1 (NVD) Contournement de la politique de sécurité 03/06/2025 Pas d'information CERTFR-2025-AVI-0473
https://advisory.splunk.com/advisories/SVD-2025-0604
https://advisory.splunk.com/advisories/SVD-2025-0603

Rappel des alertes CERT-FR

Vulnérabilité dans Roundcube

Le 01 juin 2025, Roundcube a publié des correctifs concernant une vulnérabilité critique affectant son portail de messagerie ainsi que tous les produits l'incluant (par exemple cPanel et Plesk).

Cette vulnérabilité permet à un utilisateur authentifié d'exécuter du code arbitraire à distance.

L'éditeur ne mentionne pas d'identifiant CVE.

Des détails techniques sur cette vulnérabilité ont été publiés avec l'identifiant CVE-2025-49113. Le CERT-FR a connaissance de codes d'exploitation et recommande fortement de mettre à jour dans les plus brefs délais au vu du nombre important de produits exposés.

Liens :

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Craftcms Craft Cms CVE-2024-56145 9.3 Exécution de code arbitraire à distance 18/12/2024 Exploitée https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9
Asus Rt-Ax55 Firmware CVE-2023-39780 8.8 Exécution de code arbitraire à distance Exploitée
Craftcms Craft Cms CVE-2025-35939 6.9 Contournement de la politique de sécurité 06/05/2025 Exploitée https://github.com/craftcms/cms/releases/tag/4.15.3
https://github.com/craftcms/cms/releases/tag/5.7.5
Asus Lyra Mini Firmware, Gt-Ac2900 Firmware CVE-2021-32030 9.8 Contournement de la politique de sécurité Exploitée https://www.asus.com/Networking-IoT-Servers/WiFi-Routers/ASUS-Gaming-Routers/RT-AC2900/HelpDesk_BIOS/
https://www.asus.com/us/supportonly/lyra%20mini/helpdesk_bios/
Qualcomm Processeurs CVE-2025-27038 7.5 Déni de service à distance 02/06/2025 Exploitée https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html
Qualcomm Processeurs CVE-2025-21480 8.6 Déni de service 02/06/2025 Exploitée https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html
Qualcomm Processeurs CVE-2025-21479 8.6 Déni de service 02/06/2025 Exploitée https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html
Connectwise Screenconnect CVE-2025-3935 8.1 Exécution de code arbitraire à distance 28/04/2025 Exploitée https://www.connectwise.com/company/trust/advisories

Rappel des publications émises

Dans la période du 02 juin 2025 au 08 juin 2025, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 10 juin 2025
    Version initiale