Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 29
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Chrome | CVE-2025-6558 | 8.8 (NVD) | Contournement de la politique de sécurité | 16/07/2025 | Exploitée | CERTFR-2025-AVI-0591 | https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_15.html |
|
| Microsoft | Edge | CVE-2025-6558 | 8.8 (NVD) | Contournement de la politique de sécurité | 16/07/2025 | Exploitée | CERTFR-2025-AVI-0591 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-6558 |
| IBM | Cognos Analytics | CVE-2021-23438 | 9.8 (NVD) | Contournement de la politique de sécurité | 15/07/2025 | Pas d'information | CERTFR-2025-AVI-0608 | https://www.ibm.com/support/pages/node/6615285 |
| IBM | Cognos Analytics | CVE-2022-29078 | 9.8 (NVD) | Exécution de code arbitraire à distance | 15/07/2025 | Pas d'information | CERTFR-2025-AVI-0608 | https://www.ibm.com/support/pages/node/6615285 |
| IBM | WebSphere | CVE-2025-36038 | 9.8 (NVD) | Exécution de code arbitraire à distance | 14/07/2025 | Pas d'information | CERTFR-2025-AVI-0608 | https://www.ibm.com/support/pages/node/7239627 |
| VMware | Fusion, Workstation, ESXi | CVE-2025-41238 | 9.3 (NVD) | Exécution de code arbitraire | 15/07/2025 | Pas d'information | CERTFR-2025-AVI-0592 | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877 |
| VMware | Fusion, Workstation, ESXi | CVE-2025-41237 | 9.3 (NVD) | Exécution de code arbitraire | 15/07/2025 | Pas d'information | CERTFR-2025-AVI-0592 | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877 |
| VMware | Fusion, Workstation, ESXi | CVE-2025-41236 | 9.3 (NVD) | Exécution de code arbitraire | 15/07/2025 | Pas d'information | CERTFR-2025-AVI-0592 | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877 |
| IBM | Cognos Analytics | CVE-2021-28918 | 9.1 (NVD) | Contournement de la politique de sécurité, Falsification de requêtes côté serveur (SSRF) | 15/07/2025 | Pas d'information | CERTFR-2025-AVI-0608 | https://www.ibm.com/support/pages/node/6615285 |
| Oracle | MySQL | CVE-2024-40896 | 9.1 (NVD) | Atteinte à l'intégrité des données, Atteinte à la confidentialité des données, Déni de service à distance | 15/07/2025 | Pas d'information | CERTFR-2025-AVI-0600 | https://www.oracle.com/security-alerts/cpujul2025.html |
Rappel des alertes CERT-FR
Multiples vulnérabilités dans Citrix NetScaler ADC et NetScaler Gateway
Le 4 juillet 2025, une preuve de concept a été publiée publiquement pour la vulnérabilité CVE-2025-5777. Celle-ci est triviale à utiliser et le CERT-FR constate des exploitations actives. Elle est exploitable par le biais du formulaire d'authentification.Les vulnérabilités CVE-2025-6543 et CVE-2025-5777 étant activement exploitées, tout NetScaler exposé qui n'aurait pas reçu les correctifs pour ces deux vulnérabilités doit être considéré comme compromis.
L'éditeur a publié un lien contenant une méthode d'évaluation permettant d'identifier des tentatives d'exploitation dans les journaux applicatifs et systèmes.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-009/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0528/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0540/
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Ivanti | Endpoint Manager Mobile | CVE-2025-6771 | 7.2 | Exécution de code arbitraire à distance | 08/07/2025 | Code d'exploitation public | https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2025-6770-CVE-2025-6771?language=en_US |
| OpenCV | CVE-2025-53644 | 7.7 | Non spécifié par l'éditeur | Code d'exploitation public | |||
| Wftpserver | Wing Ftp Server | CVE-2025-47812 | 10 | Exécution de code arbitraire à distance | Exploitée | ||
| Fortinet | FortiWeb | CVE-2025-25257 | 9.8 | Injection SQL (SQLi) | 09/07/2025 | Exploitée | https://www.fortiguard.com/psirt/FG-IR-25-151 |
| OpenCV | CVE-2025-53770 | 9.8 | Exécution de code arbitraire à distance | Exploitée | |||
| Vim | Vim | CVE-2025-53905 | 4.1 | Exécution de code arbitraire, Atteinte à l'intégrité des données | Code d'exploitation public | https://github.com/vim/vim/security/advisories/GHSA-74v4-f3x9-ppvr | |
| Vim | Vim | CVE-2025-53906 | 4.1 | Exécution de code arbitraire, Atteinte à l'intégrité des données | Code d'exploitation public | https://github.com/vim/vim/security/advisories/GHSA-r2fw-9cw4-mj86 |
