Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 44
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Qnap | NetBak PC Agent | CVE-2025-55315 | 9.9 (NVD) | Contournement de la politique de sécurité | 25/10/2025 | Pas d'information | CERTFR-2025-AVI-0945 | https://www.qnap.com/go/security-advisory/qsa-25-44 |
| Mozilla | Firefox | CVE-2025-12380 | 9.8 (NVD) | Contournement de la politique de sécurité | 28/10/2025 | Pas d'information | CERTFR-2025-AVI-0934 | https://www.mozilla.org/en-US/security/advisories/mfsa2025-86/ |
| Apache | Tomcat | CVE-2025-55754 | 9.6 (NVD) | Contournement de la politique de sécurité | 07/10/2025 | Pas d'information | CERTFR-2025-AVI-0933 | https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.12 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.47 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.110 |
| IBM | QRadar Log Source Management App | CVE-2025-7783 | 9.4 (NVD) | Contournement de la politique de sécurité | 30/10/2025 | Pas d'information | CERTFR-2025-AVI-0947 | https://www.ibm.com/support/pages/node/7249661 |
| Belden | Classic Switch Platform, Commutateurs administrables d'entreprise, HiLCOS Wireless Platform, HiOS Switch Platform, HiSecOS Firewall Platform, macmon-NAC | CVE-2024-3596 | 9 (NVD) | Contournement de la politique de sécurité | 24/10/2025 | Pas d'information | CERTFR-2025-AVI-0925 | https://assets.belden.com/m/7bb580a5aa03f5b0/original/PSIRT-3_RADIUS_CVE-2024-3596.pdf |
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Dassault Systèmes | DELMIA Apriso | CVE-2025-6204 | 8 | Exécution de code arbitraire à distance, Contournement de la politique de sécurité | 04/08/2025 | Exploitée | https://www.3ds.com/trust-center/security/security-advisories/cve-2025-6204 |
| Dassault Systèmes | DELMIA Apriso | CVE-2025-6205 | 9.1 | Non spécifié par l'éditeur | 04/08/2025 | Exploitée | https://www.3ds.com/trust-center/security/security-advisories/cve-2025-6205 |
| Xwiki | Xwiki | CVE-2025-24893 | 9.8 | Exécution de code arbitraire à distance, Atteinte à la confidentialité des données, Atteinte à l'intégrité des données | 20/02/2025 | Exploitée | https://jira.xwiki.org/browse/XWIKI-22149 |
