Bulletin d'actualité CERTFR-2025-ACT-034

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 33

Tableau récapitulatif :

Vulnérabilités critiques du 11/08/25 au 17/08/25

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Fortinet	FortiSIEM	CVE-2025-25256	9.8 (NVD)	Exécution de code arbitraire à distance	12/08/2025	Code d'exploitation public	CERTFR-2025-AVI-0679	https://www.fortiguard.com/psirt/FG-IR-25-152
Fortinet	FortiWeb	CVE-2025-52970	8.1 (NVD)	Contournement de la politique de sécurité, Élévation de privilèges	12/08/2025	Code d'exploitation public	CERTFR-2025-AVI-0679	https://www.fortiguard.com/psirt/FG-IR-25-448
SAP	Landscape Transformation	CVE-2025-42950	9.9 (NVD)	Exécution de code arbitraire à distance	12/08/2025	Pas d'information	CERTFR-2025-AVI-0674	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2025.html
SAP	S/4HANA (Private Cloud)	CVE-2025-42957	9.9 (NVD)	Exécution de code arbitraire à distance	12/08/2025	Pas d'information	CERTFR-2025-AVI-0674	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2025.html
Ubuntu	Ubuntu	CVE-2024-38541	9.8 (NVD)	Non spécifié par l'éditeur	13/08/2025	Pas d'information	CERTFR-2025-AVI-0700	https://ubuntu.com/security/notices/USN-7685-5
Microsoft	Windows	CVE-2025-50165	9.8 (NVD)	Exécution de code arbitraire à distance	12/08/2025	Pas d'information	CERTFR-2025-AVI-0687	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50165
Microsoft	Windows	CVE-2025-53766	9.8 (NVD)	Exécution de code arbitraire à distance	12/08/2025	Pas d'information	CERTFR-2025-AVI-0686	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53766
Siemens	SIMATIC RTLS Locating Manager	CVE-2025-40746	9.4 (NVD)	Exécution de code arbitraire à distance	12/08/2025	Pas d'information	CERTFR-2025-AVI-0677	https://cert-portal.siemens.com/productcert/html/ssa-493787.html
Intel	Pilote pour Intel 800 Series Ethernet	CVE-2025-24325	9.3 (NVD)	Élévation de privilèges	12/08/2025	Pas d'information	CERTFR-2025-AVI-0684	https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01296.html
Debian	Debian	CVE-2025-27558	9.1 (NVD)	Atteinte à l'intégrité des données	13/08/2025	Pas d'information	CERTFR-2025-AVI-0698	https://lists.debian.org/debian-security-announce/2025/msg00137.html https://lists.debian.org/debian-security-announce/2025/msg00139.html
Siemens	SINEC OS	CVE-2023-52832	9.1 (NVD)	Déni de service à distance	12/08/2025	Pas d'information	CERTFR-2025-AVI-0677	https://cert-portal.siemens.com/productcert/html/ssa-613116.html
Siemens	SINEC OS	CVE-2024-47685	9.1 (NVD)	Non spécifié par l'éditeur	12/08/2025	Pas d'information	CERTFR-2025-AVI-0677	https://cert-portal.siemens.com/productcert/html/ssa-355557.html
Microsoft	Windows	CVE-2025-50171	9.1 (NVD)	Contournement de la politique de sécurité	12/08/2025	Pas d'information	CERTFR-2025-AVI-0687	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50171

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Jenkins	Git Parameter	CVE-2025-53652	8.2	Exécution de code arbitraire à distance	09/07/2025	Code d'exploitation public	https://www.jenkins.io/security/advisory/2025-07-09/#SECURITY-3419
Microsoft	Excel, Publisher, Word, Powerpoint, Frontpage, Office, Access, Infopath, Excel Viewer, Outlook, Project, Onenote, Visio, Word Viewer	CVE-2007-0671	8.8	Exécution de code arbitraire à distance, Non spécifié par l'éditeur	03/02/2007	Exploitée	https://learn.microsoft.com/en-us/security-updates/securitybulletins/2007/ms07-015
Microsoft	Internet Explorer	CVE-2013-3893	8.8	Exécution de code arbitraire à distance	18/09/2013	Exploitée	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-080
N-able	N-central	CVE-2025-8876	9.4	Exécution de code arbitraire à distance	14/08/2025	Exploitée	https://status.n-able.com/2025/08/13/announcing-the-ga-of-n-central-2025-3-1/
N-able	N-central	CVE-2025-8875	9.4	Exécution de code arbitraire à distance	14/08/2025	Exploitée	https://status.n-able.com/2025/08/13/announcing-the-ga-of-n-central-2025-3-1/
Rarlab	Winrar	CVE-2025-8088	8.4	Exécution de code arbitraire	08/08/2025	Exploitée	https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=283&cHash=a64b4a8f662d3639dec8d65f47bc93c5

Multiples vulnérabilités dans le protocole Matrix

Le 14 août 2025, Matrix a publié un billet de blogue présentant les détails des modifications apportées au protocole Matrix pour corriger les vulnérabilités CVE-2025-49090 et CVE-2025-54315. Ce billet de blogue fait suite à une annonce préalable publiée le 16 juillet 2025 ainsi qu'à l'annonce, le 11 août 2025, de la sortie de versions correctives pour les principaux logiciels clients et serveurs implémentant le protocole.

Ces vulnérabilités permettent de réinitialier certaines permissions de groupe de discussions à un état antérieur, ce qui pourrait par exemple permettre à un compte de récupérer des droits qui auraient été supprimés. Matrix précise que cela ne provoque pas d'atteinte à la confidentialité des données et que seuls les serveurs engagés dans une fédération avec des serveurs qui ne sont pas considérés de confiance sont concernés, la solution Tchap n'est pas affectée.

Liens:

Rappel des publications émises

Dans la période du 11 août 2025 au 17 août 2025, le CERT-FR a émis les publications suivantes :

CERTFR-2025-AVI-0672 : Multiples vulnérabilités dans Liferay
CERTFR-2025-AVI-0673 : Vulnérabilité dans Centreon Gorgone
CERTFR-2025-AVI-0674 : Multiples vulnérabilités dans les produits SAP
CERTFR-2025-AVI-0675 : Vulnérabilité dans Liferay
CERTFR-2025-AVI-0676 : Multiples vulnérabilités dans les produits Schneider Electric
CERTFR-2025-AVI-0677 : Multiples vulnérabilités dans les produits Siemens
CERTFR-2025-AVI-0678 : Multiples vulnérabilités dans les produits Adobe
CERTFR-2025-AVI-0679 : Multiples vulnérabilités dans les produits Fortinet
CERTFR-2025-AVI-0680 : Multiples vulnérabilités dans les produits FoxIT
CERTFR-2025-AVI-0681 : Multiples vulnérabilités dans Google Chrome
CERTFR-2025-AVI-0682 : Multiples vulnérabilités dans Liferay
CERTFR-2025-AVI-0683 : Multiples vulnérabilités dans les produits Ivanti
CERTFR-2025-AVI-0684 : Multiples vulnérabilités dans les produits Intel
CERTFR-2025-AVI-0685 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2025-AVI-0686 : Multiples vulnérabilités dans Microsoft Office
CERTFR-2025-AVI-0687 : Multiples vulnérabilités dans Microsoft Windows
CERTFR-2025-AVI-0688 : Multiples vulnérabilités dans Microsoft Azure
CERTFR-2025-AVI-0689 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2025-AVI-0690 : Multiples vulnérabilités dans GitLab
CERTFR-2025-AVI-0691 : Vulnérabilité dans Nginx
CERTFR-2025-AVI-0692 : Multiples vulnérabilités dans Ruby on Rails
CERTFR-2025-AVI-0693 : Multiples vulnérabilités dans VMware Tanzu
CERTFR-2025-AVI-0694 : Vulnérabilité dans Apache Tomcat
CERTFR-2025-AVI-0695 : Multiples vulnérabilités dans les produits Palo Alto Networks
CERTFR-2025-AVI-0696 : Vulnérabilité dans Spring Framework
CERTFR-2025-AVI-0697 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
CERTFR-2025-AVI-0698 : Multiples vulnérabilités dans le noyau Linux de Debian
CERTFR-2025-AVI-0699 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2025-AVI-0700 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2025-AVI-0701 : Vulnérabilité dans IBM WebSphere

Référence	CERTFR-2025-ACT-034
Titre	Bulletin d'actualité CERTFR-2025-ACT-034
Date de la première version	18 août 2025
Date de la dernière version	18 août 2025
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-034

Gestion du document

Vulnérabilités significatives de la semaine 33

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

Multiples vulnérabilités dans le protocole Matrix

Liens:

Rappel des publications émises

Gestion détaillée du document