Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 40
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| VMware | VMware Tools, Aria Operations | CVE-2025-41244 | 7.8 (NVD) | Élévation de privilèges | 29/09/2025 | Exploitée | CERTFR-2025-AVI-0832 | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36149 |
| Tenable | Security Center | CVE-2024-51736 | 9.8 (NVD) | Exécution de code arbitraire à distance | 30/09/2025 | Pas d'information | CERTFR-2025-AVI-0836 | https://www.tenable.com/security/tns-2025-20 |
Autres vulnérabilités
CVE-2025-61882: Vulnérabilité dans Oracle E-Business Suite
Le 04/10/2025, Oracle a publié un bulletin de sécurité concernant la vulnérabilité CVE-2025-61882 affectant E-Business Suite. Elle permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. Cette vulnérabilité est activement exploitée et des indicateurs de compromission sont disponibles dans l'avis éditeur.
Liens :
- https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
- https://www.cve.org/CVERecord?id=CVE-2025-61882
