Bulletin d'actualité CERTFR-2025-ACT-046

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 43

Tableau récapitulatif :

Vulnérabilités critiques du 20/10/25 au 26/10/25

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Microsoft	Azure	CVE-2025-59503	9.9 (NVD)	Falsification de requêtes côté serveur (SSRF)	23/10/2025	Pas d'information	CERTFR-2025-AVI-0919	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59503
Tenable	Identity Exposure	CVE-2025-55315	9.9 (NVD)	Contournement de la politique de sécurité	17/10/2025	Pas d'information	CERTFR-2025-AVI-0897	https://www.tenable.com/security/tns-2025-22
Ubuntu	Ubuntu	CVE-2024-38541	9.8 (NVD)	Non spécifié par l'éditeur	21/10/2025	Pas d'information	CERTFR-2025-AVI-0922	https://ubuntu.com/security/notices/USN-7819-2 https://ubuntu.com/security/notices/USN-7832-1
Microsoft	CLB Mariner, Azure	CVE-2025-10729	9.4 (NVD)	Déni de service	07/10/2025	Pas d'information	CERTFR-2025-AVI-0899	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-10729

Autres vulnérabilités

CVE-2025-59287: Vulnérabilité dans Windows Server Update Service (WSUS)

Le 14 octobre 2025, Microsoft a publié un bulletin de sécurité concernant la vulnérabilité CVE-2025-59287 affectant Windows Server Update Service (WSUS). Elle permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. Cette vulnérabilité est activement exploitée d'après la CISA et des preuves de concept sont disponibles publiquement.

Microsoft a publié un nouveau correctif pour cette vulnérabilité le 24 octobre 2024. Le CERT-FR recommande son installation dans les plus brefs délais. Si l'installation n'est pas possible, l'éditeur recommande de désactiver la fonctionnalité ou de restreindre l'accès aux ports 8530 et 8531.

Liens :

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Debian	Debian	CVE-2025-37947	7.8	Élévation de privilèges	24/05/2025	Code d'exploitation public	https://lists.debian.org/debian-security-announce/2025/msg00088.html
Ubuntu	Ubuntu	CVE-2025-37947	7.8	Élévation de privilèges	24/05/2025	Code d'exploitation public	https://ubuntu.com/security/notices/USN-7699-2
Microsoft	Pilote Windows Cloud Files Mini Filter	CVE-2025-55680	7.8	Élévation de privilèges	15/10/2025	Code d'exploitation public	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55680
Microsoft	SMB Client	CVE-2025-33073	8.8	Élévation de privilèges	11/06/2025	Exploitée	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073
Zyxel	Pare-feu	CVE-2025-9133	8.1	Non spécifié par l'éditeur	21/10/2025	Code d'exploitation public	https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-and-missing-authorization-vulnerabilities-in-zld-firewalls-10-21-2025
Zyxel	Pare-feu	CVE-2025-8078	7.2	Exécution de code arbitraire à distance	21/10/2025	Code d'exploitation public	https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-and-missing-authorization-vulnerabilities-in-zld-firewalls-10-21-2025
Better Auth		CVE-2025-61928	9.3	Contournement de la politique de sécurité	08/10/2025	Code d'exploitation public	https://github.com/better-auth/better-auth/security/advisories/GHSA-99h5-pjcv-gr6v
Kentico	Xperience	CVE-2025-2746	9.8	Contournement de la politique de sécurité	24/03/2025	Exploitée	https://devnet.kentico.com/download/hotfixes
Kentico	Xperience	CVE-2025-2747	9.8	Contournement de la politique de sécurité	24/03/2025	Exploitée	https://devnet.kentico.com/download/hotfixes
Motex	Lanscope Endpoint Manager	CVE-2025-61932	9.3	Exécution de code arbitraire à distance, Contournement de la politique de sécurité	20/10/2025	Exploitée	https://www.motex.co.jp/news/notice/2025/release251020/
Apple	Tvos, Safari, Ipados, Iphone Os, Macos, Watchos	CVE-2022-48503	8.8	Exécution de code arbitraire à distance	22/06/2022	Exploitée	https://support.apple.com/en-us/HT213340 https://support.apple.com/en-us/HT213341 https://support.apple.com/en-us/HT213342 https://support.apple.com/en-us/HT213345 https://support.apple.com/en-us/HT213346
Adobe	Commerce	CVE-2025-54236	9.1	Contournement de la politique de sécurité	09/09/2025	Exploitée	https://helpx.adobe.com/security/products/magento/apsb25-88.html

Rappel des publications émises

Dans la période du 20 octobre 2025 au 26 octobre 2025, le CERT-FR a émis les publications suivantes :

CERTFR-2025-AVI-0897 : Multiples vulnérabilités dans Tenable Identity Exposure
CERTFR-2025-AVI-0898 : Vulnérabilité dans Microsoft Edge
CERTFR-2025-AVI-0899 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2025-AVI-0900 : Multiples vulnérabilités dans Centreon Web
CERTFR-2025-AVI-0901 : Vulnérabilité dans Google Chrome
CERTFR-2025-AVI-0902 : Multiples vulnérabilités dans Xen
CERTFR-2025-AVI-0903 : Multiples vulnérabilités dans les produits Atlassian
CERTFR-2025-AVI-0904 : Multiples vulnérabilités dans GitLab
CERTFR-2025-AVI-0905 : Multiples vulnérabilités dans Oracle Database Server
CERTFR-2025-AVI-0906 : Multiples vulnérabilités dans Oracle Java SE
CERTFR-2025-AVI-0907 : Multiples vulnérabilités dans Oracle MySQL
CERTFR-2025-AVI-0908 : Multiples vulnérabilités dans Oracle PeopleSoft
CERTFR-2025-AVI-0909 : Multiples vulnérabilités dans Oracle Systems
CERTFR-2025-AVI-0910 : Multiples vulnérabilités dans Oracle Virtualization
CERTFR-2025-AVI-0911 : Multiples vulnérabilités dans Oracle Weblogic
CERTFR-2025-AVI-0912 : Vulnérabilité dans SolarWinds Observability
CERTFR-2025-AVI-0913 : Multiples vulnérabilités dans ISC BIND
CERTFR-2025-AVI-0914 : Multiples vulnérabilités dans les produits Centreon
CERTFR-2025-AVI-0915 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2025-AVI-0916 : Vulnérabilité dans le pilote MongoDB Pilote Atlas SQL ODBC
CERTFR-2025-AVI-0917 : Multiples vulnérabilités dans les produits Moxa
CERTFR-2025-AVI-0918 : Multiples vulnérabilités dans Liferay
CERTFR-2025-AVI-0919 : Multiples vulnérabilités dans Microsoft Azure
CERTFR-2025-AVI-0920 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2025-AVI-0921 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2025-AVI-0922 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2025-AVI-0923 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2025-AVI-0924 : Multiples vulnérabilités dans les produits IBM

Référence	CERTFR-2025-ACT-046
Titre	Bulletin d'actualité CERTFR-2025-ACT-046
Date de la première version	27 octobre 2025
Date de la dernière version	27 octobre 2025
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-046

Gestion du document

Vulnérabilités significatives de la semaine 43

Tableau récapitulatif :

Autres vulnérabilités

CVE-2025-59287: Vulnérabilité dans Windows Server Update Service (WSUS)

Liens :

Tableau récapitulatif :

Rappel des publications émises

Gestion détaillée du document