Objet: Bulletin d'actualité CERTFR-2025-ACT-028

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 27

Tableau récapitulatif :

Vulnérabilités critiques du 30/06/25 au 06/07/25

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Grafana Labs	Greffon Image Renderer, Synthetic Monitoring Agent	CVE-2025-6554	8.1 (NVD)	Contournement de la politique de sécurité	02/07/2025	Exploitée	CERTFR-2025-AVI-0549	https://grafana.com/blog/2025/07/02/grafana-security-update-critical-severity-security-release-for-cve-2025-5959-cve-2025-6554-cve-2025-6191-and-cve-2025-6192-in-grafana-image-renderer-plugin-and-synthetic-monitoring-agent/
Google	Chrome	CVE-2025-6554	8.1 (NVD)	Contournement de la politique de sécurité	02/07/2025	Exploitée	CERTFR-2025-AVI-0549	https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html
Microsoft	Edge	CVE-2025-6554	8.1 (NVD)	Contournement de la politique de sécurité	02/07/2025	Exploitée	CERTFR-2025-AVI-0549	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-6554
PHP	PHP	CVE-2025-1220		Falsification de requêtes côté serveur (SSRF)	03/07/2025	Code d'exploitation public	CERTFR-2025-AVI-0558	https://www.php.net/ChangeLog-8.php#8.3.23 https://www.php.net/ChangeLog-8.php#8.1.33 https://www.php.net/ChangeLog-8.php#8.2.29 https://www.php.net/ChangeLog-8.php#8.4.10
PHP	PHP	CVE-2025-6491		Déni de service à distance	03/07/2025	Code d'exploitation public	CERTFR-2025-AVI-0558	https://www.php.net/ChangeLog-8.php#8.3.23 https://www.php.net/ChangeLog-8.php#8.1.33 https://www.php.net/ChangeLog-8.php#8.2.29 https://www.php.net/ChangeLog-8.php#8.4.10
Cisco	Unified Communications Manager Session Management Edition, Unified Communications Manager	CVE-2025-20309	10 (NVD)	Contournement de la politique de sécurité	02/07/2025	Pas d'information	CERTFR-2025-AVI-0553	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7
Mozilla	Firefox ESR, Firefox, Thunderbird	CVE-2025-6424	9.8 (NVD)	Déni de service à distance	02/07/2025	Pas d'information	CERTFR-2025-AVI-0555	https://www.mozilla.org/en-US/security/advisories/mfsa2025-54/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-55/
Mozilla	Firefox	CVE-2025-6433	9.8 (NVD)	Contournement de la politique de sécurité	02/07/2025	Pas d'information	CERTFR-2025-AVI-0555	https://www.mozilla.org/en-US/security/advisories/mfsa2025-54/
IBM	QRadar Suite Software	CVE-2024-21534	9.8 (NVD)	Contournement de la politique de sécurité, Exécution de code arbitraire à distance	27/06/2025	Pas d'information	CERTFR-2025-AVI-0562	https://www.ibm.com/support/pages/node/7238163
IBM	Db2	CVE-2021-43816	9.1 (NVD)	Atteinte à la confidentialité des données	03/07/2025	Pas d'information	CERTFR-2025-AVI-0562	https://www.ibm.com/support/pages/node/7238831
Mozilla	Firefox	CVE-2025-6427	9.1 (NVD)	Contournement de la politique de sécurité	02/07/2025	Pas d'information	CERTFR-2025-AVI-0555	https://www.mozilla.org/en-US/security/advisories/mfsa2025-54/

Rappel des alertes CERT-FR

Multiples vulnérabilités dans Citrix NetScaler ADC et NetScaler Gateway

Le 17 juin 2025, Citrix a publié un bulletin de sécurité concernant notamment la vulnérabilité CVE-2025-5777 . Celle-ci permet à un attaquant non authentifié de faire fuiter des portions aléatoires de la mémoire de NetScaler ADC et NetScaler Gateway et ainsi potentiellement récupérer les informations de connexion d'une session active.

Le 25 juin 2025, Citrix a publié un avis de sécurité concernant la vulnérabilité CVE-2025-6543 affectant NetScaler ADC et NetScaler Gateway. L'éditeur lui a attribué un score CVSS v4.0 de 9,2 et indique qu'elle permet à un attaquant de provoquer un débordement de mémoire entrainant un flux de contrôle imprévu et un déni de service à distance. L'équipement est vulnérable s'il est configuré en tant que passerelle (Gateway : VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou en tant que serveur virtuel AAA (AAA virtual server).

Citrix déclare avoir connaissance d'exploitations actives de la vulnérabilité CVE-2025-6543.

Le 4 juillet 2025, une preuve de concept a été publiée publiquement pour la vulnérabilité CVE-2025-5777. Celle-ci est triviale à utiliser et le CERT-FR constate des exploitations actives. La vulnérabilité CVE-2025-5777 est exploitable par le biais du formulaire d'authentification.

Les vulnérabilités CVE-2025-6543 et CVE-2025-5777 étant activement exploitées, tout Netscaler exposé qui n'aurait pas reçu les correctifs pour ces deux vulnérabilités doit être considéré comme compromis.

Liens :

• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-009/
• https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
• https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
• https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694799

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
vercel	next.js	CVE-2025-29927	9.1	Contournement de la politique de sécurité	21/03/2025	Code d'exploitation public	https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
Smarsh	Telemessage	CVE-2025-48928	4	Atteinte à la confidentialité des données	18/05/2025	Exploitée	https://www.wired.com/story/how-the-signal-knock-off-app-telemessage-got-hacked-in-20-minutes/
Smarsh	Telemessage	CVE-2025-48927	5.3	Atteinte à la confidentialité des données	18/05/2025	Exploitée	https://www.wired.com/story/how-the-signal-knock-off-app-telemessage-got-hacked-in-20-minutes/

CVE-2025-32462, CVE-2025-32463 : Multiples vulnérabilités dans Sudo

Le 30 juin 2025, l'éditeur du projet sudo a publié deux avis de sécurité concernant les vulnérabilités CVE-2025-32462 et CVE-2025-32643.

La vulnérabilité CVE-2025-32462 permet à un attaquant de provoquer une élévation de privilège via l'option host (-h ou --host). Les systèmes avec la commande sudo ayant une version entre 1.8.8 et 1.9.17 et un fichier sudoers contenant une régle dont le champ Host est différent de l'hôte local ou de la valeur ALL sont affectés par cette vulnérabilité.

La vulnérabilité CVE-2025-32463 permet à un attaquant de provoquer une élévation de privilège via l'option chroot (-R ou --chroot). Les systèmes qui sont compatibles avec le fichier /etc/nsswitch.conf et avec la commande sudo ayant une version entre 1.9.14 et 1.9.17 sont affectés par cette vulnérabilité.

Des preuves de concept sont disponibles pour les deux vulnérabilités.La version 1.9.17p1 corrige ces deux vulnérabilités.

Liens :

• https://www.sudo.ws/security/advisories/host_any/
• https://www.sudo.ws/security/advisories/chroot_bug/