Bulletin d'actualité CERTFR-2025-ACT-039

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 37

Tableau récapitulatif :

Vulnérabilités critiques du 08/09/25 au 14/09/25

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
SAP	NetWeaver	CVE-2025-42944	10 (NVD)	Exécution de code arbitraire à distance	09/09/2025	Pas d'information	CERTFR-2025-AVI-0764	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html
SAP	SAP NetWeaver AS Java	CVE-2025-42922	9.9 (NVD)	Exécution de code arbitraire à distance	09/09/2025	Pas d'information	CERTFR-2025-AVI-0764	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html
XEN	Xen	CVE-2025-58142	9.8 (NVD)	Non spécifié par l'éditeur	09/09/2025	Pas d'information	CERTFR-2025-AVI-0771	https://xenbits.xen.org/xsa/advisory-472.html
XEN	Xen	CVE-2025-27466	9.8 (NVD)	Non spécifié par l'éditeur	09/09/2025	Pas d'information	CERTFR-2025-AVI-0771	https://xenbits.xen.org/xsa/advisory-472.html
XEN	Xen	CVE-2025-58143	9.8 (NVD)	Non spécifié par l'éditeur	09/09/2025	Pas d'information	CERTFR-2025-AVI-0771	https://xenbits.xen.org/xsa/advisory-472.html
Microsoft	Windows	CVE-2025-55232	9.8 (NVD)	Exécution de code arbitraire à distance	09/09/2025	Pas d'information	CERTFR-2025-AVI-0780	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55232
SAP	SAP NetWeaver Application Server ABAP et ABAP Platform	CVE-2023-27500	9.6 (NVD)	Atteinte à l'intégrité des données, Déni de service à distance	09/09/2025	Pas d'information	CERTFR-2025-AVI-0764	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html
IBM	QRadar Log Source Management App	CVE-2025-7783	9.4 (NVD)	Contournement de la politique de sécurité	10/09/2025	Pas d'information	CERTFR-2025-AVI-0789	https://www.ibm.com/support/pages/node/7244494
Siemens	SIMATIC PCS neo V5.0, SIMATIC PCS neo V4.1, User Management Component (UMC)	CVE-2025-40795	9.3 (NVD)	Déni de service à distance, Exécution de code arbitraire à distance	09/09/2025	Pas d'information	CERTFR-2025-AVI-0765	https://cert-portal.siemens.com/productcert/html/ssa-722410.html
Siemens	SIMATIC Virtualization as a Service (SIVaaS)	CVE-2025-40804	9.3 (NVD)	Atteinte à la confidentialité des données, Contournement de la politique de sécurité	09/09/2025	Pas d'information	CERTFR-2025-AVI-0765	https://cert-portal.siemens.com/productcert/html/ssa-534283.html
SAP	NetWeaver	CVE-2025-42958	9.1 (NVD)	Atteinte à l'intégrité des données, Atteinte à la confidentialité des données, Contournement de la politique de sécurité, Déni de service à distance	09/09/2025	Pas d'information	CERTFR-2025-AVI-0764	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html
Adobe	Commerce	CVE-2025-54236	9.1 (NVD)	Contournement de la politique de sécurité	09/09/2025	Pas d'information	CERTFR-2025-AVI-0767	https://helpx.adobe.com/security/products/magento/apsb25-88.html
Adobe	ColdFusion	CVE-2025-54261	9 (NVD)	Contournement de la politique de sécurité, Exécution de code arbitraire à distance	09/09/2025	Pas d'information	CERTFR-2025-AVI-0770	https://helpx.adobe.com/security/products/coldfusion/apsb25-93.html
Spring	Cloud Gateway Server	CVE-2025-41243	10 (NVD)	Contournement de la politique de sécurité	08/09/2025	Pas d'information	CERTFR-2025-AVI-0763	https://spring.io/security/cve-2025-41243

Autres vulnérabilités

Attaque par la chaîne d’approvisionnement de plusieurs paquets NPM

Le 08 septembre 2025, l'un des contributeurs de plusieurs paquets NPM a publié un message déclarant qu'un attaquant avait compromis son compte NPM.

L'attaquant en a profité pour publier des versions piégées des paquets suivants :

backslash version 0.2.1
chalk-template version 1.1.1
supports-hyperlinks version 4.1.1
has-ansi version 6.0.1
simple-swizzle version 0.2.3
color-string version 2.1.1
error-ex version 1.3.3
color-name version 2.0.1
is-arrayish version 0.3.3
slice-ansi version 7.1.1
color-convert version 3.1.1
wrap-ansi version 9.0.1
ansi-regex version 6.2.1
supports-color version 10.2.1
strip-ansi version 7.1.1
chalk version 5.6.1
debug version 4.4.2
ansi-styles version 6.2.2

Liens:

https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Microsoft	Windows Server 2016, Windows 10 1607, Windows 10 1809, Windows 10 1507, Windows 11 23H2, Windows Server 2012, Windows 10 21H2, Windows 11 22H2, Windows Server 2019, Windows Server 2008, Windows 11 24H2, Windows 10 22H2, Windows Server 2022 23H2, Windows Server 2022, Windows Server 2025	CVE-2025-49689	7.8	Élévation de privilèges	08/07/2025	Code d'exploitation public	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49689
Dassault Systèmes	DELMIA Apriso	CVE-2025-5086	8.8	Exécution de code arbitraire à distance	02/06/2025	Exploitée	https://www.3ds.com/trust-center/security/security-advisories/cve-2025-5086
Samsung	Android 13, 14, 15, 16	CVE-2025-21043	9	Exécution de code arbitraire à distance	12/09/2025	Exploitée	https://security.samsungmobile.com/securityUpdate.smsb
Omnissa	Workspace ONE UEM	CVE-2025-25231	7.5	Atteinte à la confidentialité des données	11/08/2025	Exploitée	https://www.omnissa.com/omsa-2025-0004/

Rappel des publications émises

Dans la période du 08 septembre 2025 au 14 septembre 2025, le CERT-FR a émis les publications suivantes :

CERTFR-2025-AVI-0761 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2025-AVI-0762 : Vulnérabilité dans SPIP
CERTFR-2025-AVI-0763 : Vulnérabilité dans Spring Cloud Gateway
CERTFR-2025-AVI-0764 : Multiples vulnérabilités dans les produits SAP
CERTFR-2025-AVI-0765 : Multiples vulnérabilités dans les produits Siemens
CERTFR-2025-AVI-0766 : Multiples vulnérabilités dans les produits Liferay
CERTFR-2025-AVI-0767 : Vulnérabilité dans les produits Adobe
CERTFR-2025-AVI-0768 : Multiples vulnérabilités dans les produits Ivanti
CERTFR-2025-AVI-0769 : Multiples vulnérabilités dans Google Chrome
CERTFR-2025-AVI-0770 : Multiples vulnérabilités dans les produits Adobe
CERTFR-2025-AVI-0771 : Multiples vulnérabilités dans Xen
CERTFR-2025-AVI-0772 : Vulnérabilité dans les points d'accès Sophos AP6
CERTFR-2025-AVI-0773 : Multiples vulnérabilités dans les produits Fortinet
CERTFR-2025-AVI-0774 : Vulnérabilité dans Liferay
CERTFR-2025-AVI-0775 : Multiples vulnérabilités dans Curl
CERTFR-2025-AVI-0776 : Multiples vulnérabilités dans GitLab
CERTFR-2025-AVI-0777 : Multiples vulnérabilités dans Microsoft Office
CERTFR-2025-AVI-0778 : Multiples vulnérabilités dans Microsoft Windows
CERTFR-2025-AVI-0779 : Multiples vulnérabilités dans Microsoft Azure
CERTFR-2025-AVI-0780 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2025-AVI-0781 : Multiples vulnérabilités dans Cisco IOS XR
CERTFR-2025-AVI-0782 : Multiples vulnérabilités dans les produits Palo Alto Networks
CERTFR-2025-AVI-0783 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2025-AVI-0784 : Vulnérabilité dans Microsoft Visual Studio Code
CERTFR-2025-AVI-0785 : Multiples vulnérabilités dans Liferay
CERTFR-2025-AVI-0786 : Multiples vulnérabilités dans Zabbix
CERTFR-2025-AVI-0787 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2025-AVI-0788 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2025-AVI-0789 : Multiples vulnérabilités dans les produits IBM

Référence	CERTFR-2025-ACT-039
Titre	Bulletin d'actualité CERTFR-2025-ACT-039
Date de la première version	15 septembre 2025
Date de la dernière version	15 septembre 2025
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-039

Gestion du document

Vulnérabilités significatives de la semaine 37

Tableau récapitulatif :

Autres vulnérabilités

Attaque par la chaîne d’approvisionnement de plusieurs paquets NPM

Liens:

Tableau récapitulatif :

Rappel des publications émises

Gestion détaillée du document