Bulletin d'actualité CERTFR-2025-ACT-037

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 36

Tableau récapitulatif :

Vulnérabilités critiques du 01/09/25 au 07/09/25

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Google	Android	CVE-2025-48543	8.8 (NVD)	Élévation de privilèges	01/09/2025	Exploitée	CERTFR-2025-AVI-0750	https://source.android.com/docs/security/bulletin/2025-09-01?hl=fr
Google	Android	CVE-2025-38352	7.4 (NVD)	Élévation de privilèges	01/09/2025	Exploitée	CERTFR-2025-AVI-0750	https://source.android.com/docs/security/bulletin/2025-09-01?hl=fr
SUSE	Development Tools Module, Legacy Module, Public Cloud Module, SUSE Linux Enterprise Server, SUSE Linux Enterprise Live Patching, Basesystem Module, Confidential Computing Module, SUSE Linux Enterprise Desktop, SUSE Linux Enterprise Micro, SUSE Linux Micro Extras, SUSE Linux Enterprise Real Time, openSUSE Leap, SUSE Linux Micro, SUSE Real Time Module	CVE-2025-38352	7.4 (NVD)	Élévation de privilèges	01/09/2025	Exploitée	CERTFR-2025-AVI-0750	https://www.suse.com/support/update/announcement/2025/suse-su-202503023-1 https://www.suse.com/support/update/announcement/2025/suse-su-202520602-1 https://www.suse.com/support/update/announcement/2025/suse-su-202520601-1
VMware	Tanzu Hub	CVE-2005-2541	10 (NVD)	Élévation de privilèges	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2021-44228	10 (NVD)	Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Gemfire	CVE-2024-41110	9.9 (NVD)	Contournement de la politique de sécurité, Élévation de privilèges	03/09/2025	Pas d'information	CERTFR-2025-AVI-0754	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36085
VMware	Tanzu Hub	CVE-2022-22965	9.8 (NVD)	Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2017-12629	9.8 (NVD)	Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu	CVE-2025-24813	9.8 (NVD)	Atteinte à la confidentialité des données, Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36092 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36091 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36078
VMware	Tanzu Hub	CVE-2017-8046	9.8 (NVD)	Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2018-1273	9.8 (NVD)	Contournement de la politique de sécurité, Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2016-1000027	9.8 (NVD)	Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2021-33574	9.8 (NVD)	Déni de service à distance, Non spécifié par l'éditeur	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2022-2068	9.8 (NVD)	Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2022-28321	9.8 (NVD)	Contournement de la politique de sécurité	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2022-3515	9.8 (NVD)	Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2023-0687	9.8 (NVD)	Non spécifié par l'éditeur	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2023-20873	9.8 (NVD)	Contournement de la politique de sécurité	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2023-39017	9.8 (NVD)	Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2023-45853	9.8 (NVD)	Non spécifié par l'éditeur	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2023-47100	9.8 (NVD)	Non spécifié par l'éditeur	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2024-7012	9.8 (NVD)	Contournement de la politique de sécurité	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2025-1020	9.8 (NVD)	Exécution de code arbitraire à distance	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
IBM	QRadar	CVE-2024-45491	9.8 (NVD)	Non spécifié par l'éditeur	01/09/2025	Pas d'information	CERTFR-2025-AVI-0760	https://www.ibm.com/support/pages/node/7243673
IBM	QRadar	CVE-2024-45492	9.8 (NVD)	Déni de service à distance, Exécution de code arbitraire à distance	01/09/2025	Pas d'information	CERTFR-2025-AVI-0760	https://www.ibm.com/support/pages/node/7243673
IBM	Db2	CVE-2025-30472	9.8 (NVD)	Non spécifié par l'éditeur	01/09/2025	Pas d'information	CERTFR-2025-AVI-0760	https://www.ibm.com/support/pages/node/7243673
Google	Android	CVE-2025-48581	9.8 (NVD)	Élévation de privilèges	01/09/2025	Pas d'information	CERTFR-2025-AVI-0750	https://source.android.com/docs/security/bulletin/2025-09-01?hl=fr
Google	Pixel	CVE-2025-36890	9.8 (NVD)	Élévation de privilèges	01/09/2025	Pas d'information	CERTFR-2025-AVI-0752	https://source.android.com/docs/security/bulletin/pixel/2025-09-01?hl=fr
IBM	QRadar Log Source Management App	CVE-2025-7783	9.4 (NVD)	Contournement de la politique de sécurité	04/09/2025	Pas d'information	CERTFR-2025-AVI-0751	https://www.ibm.com/support/pages/node/7243582 https://www.ibm.com/support/pages/node/7243673
VMware	Tanzu Platform for Cloud Foundry	CVE-2025-7783	9.4 (NVD)	Contournement de la politique de sécurité	04/09/2025	Pas d'information	CERTFR-2025-AVI-0751	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36077 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36076 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36075
IBM	QRadar SIEM	CVE-2025-4517	9.4 (NVD)	Contournement de la politique de sécurité	03/09/2025	Pas d'information	CERTFR-2025-AVI-0751	https://www.ibm.com/support/pages/node/7243673
VMware	Tanzu Greenplum, Tanzu Platform for Cloud Foundry	CVE-2025-4517	9.4 (NVD)	Contournement de la politique de sécurité	03/09/2025	Pas d'information	CERTFR-2025-AVI-0751	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36077 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36076 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36075 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36086
Qnap	QVR	CVE-2025-52856	9.3 (NVD)	Contournement de la politique de sécurité	29/08/2025	Pas d'information	CERTFR-2025-AVI-0747	https://www.qnap.com/go/security-advisory/qsa-25-29
VMware	Tanzu Hub	CVE-2019-10744	9.1 (NVD)	Non spécifié par l'éditeur	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2021-46848	9.1 (NVD)	Non spécifié par l'éditeur	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Hub	CVE-2023-5841	9.1 (NVD)	Non spécifié par l'éditeur	04/09/2025	Pas d'information	CERTFR-2025-AVI-0756	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
VMware	Tanzu Gemfire Management Console, Tanzu Operations Manager,	CVE-2024-45337	9.1 (NVD)	Contournement de la politique de sécurité	04/09/2025	Pas d'information	CERTFR-2025-AVI-0754	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36085 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36097 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36096 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36095 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36094 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36093
VMware	Tanzu GemFire Management Console, Tanzu for MySQL on Cloud Foundry	CVE-2025-22871	9.1 (NVD)	Contournement de la politique de sécurité	04/09/2025	Pas d'information	CERTFR-2025-AVI-0754	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36085 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36103
VMware	Tanzu Greenplum	CVE-2025-9288	9.1 (NVD)	Contournement de la politique de sécurité	04/09/2025	Pas d'information	CERTFR-2025-AVI-0754	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36086 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36111
Ubuntu	Ubuntu	CVE-2024-47685	9.1 (NVD)	Non spécifié par l'éditeur	02/09/2025	Pas d'information	CERTFR-2025-AVI-0758	https://ubuntu.com/security/notices/USN-7727-2 https://ubuntu.com/security/notices/USN-7727-1 https://ubuntu.com/security/notices/USN-7727-3
VMware	Tanzu Platform for Cloud Foundry	CVE-2025-23048	9.1 (NVD)	Contournement de la politique de sécurité	02/09/2025	Pas d'information	CERTFR-2025-AVI-0751	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36077 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36076 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36075
IBM	QRadar SIEM	CVE-2025-29927	9.1 (NVD)	Contournement de la politique de sécurité	29/08/2025	Pas d'information	CERTFR-2025-AVI-0760	https://www.ibm.com/support/pages/node/7243582
Google	Android	CVE-2025-21450	9.1 (NVD)	Non spécifié par l'éditeur	01/09/2025	Pas d'information	CERTFR-2025-AVI-0750	https://source.android.com/docs/security/bulletin/2025-09-01?hl=fr
IBM	QRadar SIEM	CVE-2024-51504	9.1 (NVD)	Contournement de la politique de sécurité	29/08/2025	Pas d'information	CERTFR-2025-AVI-0760	https://www.ibm.com/support/pages/node/7243582

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Tp-link	Tp-link TL-WA855RE V5 20200415-rel37464	CVE-2020-24363	8.8	Contournement de la politique de sécurité	22/04/2025	Exploitée	https://access.redhat.com/security/cve/cve-2020-24363
Tp-link	Tp-link TL-WR841N	CVE-2023-50224	6.5	Atteinte à la confidentialité des données	19/12/2023	Exploitée	https://www.tp-link.com/us/support/faq/4365/ https://www.zerodayinitiative.com/advisories/ZDI-23-1808/
Tp-Link	TP-Link Archer C7(EU) , TL-WR841N/ND(MS)	CVE-2025-9377	8.6	Exécution de code arbitraire à distance	11/09/2024	Exploitée	https://www.tp-link.com/us/support/faq/4308/ https://www.tp-link.com/us/support/faq/4365//
Sitecore	Experience Manager (XM), Experience Platform (XP)	CVE-2025-53690	9	Exécution de code arbitraire à distance	02/09/2025	Exploitée	https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003865

Rappel des publications émises

Dans la période du 01 septembre 2025 au 07 septembre 2025, le CERT-FR a émis les publications suivantes :

CERTFR-2025-AVI-0747 : Multiples vulnérabilités dans les produits Qnap
CERTFR-2025-AVI-0748 : Vulnérabilité dans les produits Liferay
CERTFR-2025-AVI-0749 : Multiples vulnérabilités dans Google Chrome
CERTFR-2025-AVI-0750 : Multiples vulnérabilités dans Google Android
CERTFR-2025-AVI-0751 : Multiples vulnérabilités dans les produits VMware
CERTFR-2025-AVI-0752 : Multiples vulnérabilités dans Google Pixel
CERTFR-2025-AVI-0753 : Vulnérabilité dans Shibboleth Service Provider
CERTFR-2025-AVI-0754 : Multiples vulnérabilités dans les produits VMware
CERTFR-2025-AVI-0755 : Vulnérabilité dans les produits Synology
CERTFR-2025-AVI-0756 : Multiples vulnérabilités dans les produits VMware
CERTFR-2025-AVI-0757 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2025-AVI-0758 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2025-AVI-0759 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2025-AVI-0760 : Multiples vulnérabilités dans les produits IBM

Référence	CERTFR-2025-ACT-037
Titre	Bulletin d'actualité CERTFR-2025-ACT-037
Date de la première version	08 septembre 2025
Date de la dernière version	08 septembre 2025
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-037

Gestion du document

Vulnérabilités significatives de la semaine 36

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

Rappel des publications émises

Gestion détaillée du document