S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 novembre 2025
N° CERTFR-2025-ACT-049
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-049

Gestion du document

Référence CERTFR-2025-ACT-049
Titre Bulletin d'actualité CERTFR-2025-ACT-049
Date de la première version17 novembre 2025
Date de la dernière version17 novembre 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 46

Tableau récapitulatif :

Vulnérabilités critiques du 10/11/25 au 16/11/25
Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Microsoft Windows CVE-2025-62215 7 (NVD) Contournement de la politique de sécurité 11/11/2025 Exploitée CERTFR-2025-AVI-0996
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62215
Citrix NetScaler Gateway, NetScaler ADC CVE-2025-12101 5.9 (NVD) Injection de code indirecte à distance (XSS) 11/11/2025Code d'exploitation publicCERTFR-2025-AVI-0987
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX695486&articleURL=NetScaler_ADC_and_NetScaler_Gateway_Security_Bulletin_for_CVE_2025_12101
SAP SQL Anywhere Monitor CVE-2025-42890 10 (NVD) Exécution de code arbitraire à distance 11/11/2025 Pas d'information CERTFR-2025-AVI-0982
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2025.html
SAP Solution Manager CVE-2025-42887 9.9 (NVD) Exécution de code arbitraire à distance 11/11/2025 Pas d'information CERTFR-2025-AVI-0982
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2025.html
IBM AIX CVE-2025-36250 10 (NVD) Exécution de code arbitraire à distance 13/11/2025 Pas d'information CERTFR-2025-AVI-1013
https://www.ibm.com/support/pages/node/7251173
IBM AIX CVE-2025-36251 9.6 (NVD) Exécution de code arbitraire à distance 13/11/2025 Pas d'information CERTFR-2025-AVI-1013
https://www.ibm.com/support/pages/node/7251173
IBM AIX CVE-2025-36096 9 (NVD) Atteinte à la confidentialité des données 13/11/2025 Pas d'information CERTFR-2025-AVI-1013
https://www.ibm.com/support/pages/node/7251173
Mozilla Firefox CVE-2025-13021 9.8 (NVD) Non spécifié par l'éditeur 11/11/2025 Pas d'information CERTFR-2025-AVI-0991
https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/
Mozilla Firefox CVE-2025-13022 9.8 (NVD) Non spécifié par l'éditeur 11/11/2025 Pas d'information CERTFR-2025-AVI-0991
https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/
Mozilla Firefox CVE-2025-13023 9.8 (NVD) Contournement de la politique de sécurité 11/11/2025 Pas d'information CERTFR-2025-AVI-0991
https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/
Mozilla Firefox CVE-2025-13024 9.8 (NVD) Non spécifié par l'éditeur 11/11/2025 Pas d'information CERTFR-2025-AVI-0991
https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/
Mozilla Firefox CVE-2025-13026 9.8 (NVD) Contournement de la politique de sécurité 11/11/2025 Pas d'information CERTFR-2025-AVI-0991
https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/
Microsoft Windows CVE-2025-60724 9.8 (NVD) Exécution de code arbitraire à distance 11/11/2025 Pas d'information CERTFR-2025-AVI-0995
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60724
Qnap QuMagie CVE-2025-52425 9.5 (NVD) Injection SQL (SQLi) 08/11/2025 Pas d'information CERTFR-2025-AVI-0981
https://www.qnap.com/go/security-advisory/qsa-25-33
Synology BeeStation OS CVE-2025-12686 9.8(NVD) Exécution de code arbitraire à distance 10/11/2025 Pas d'information CERTFR-2025-AVI-0983
https://www.synology.com/en-global/security/advisory/Synology_SA_25_12

CVE-2025-64446 : Vulnérabilité dans Fortinet FortiWeb

Le 14 novembre 2025, l'éditeur Fortinet diffusait un correctif de sécurité pour Fortiweb. Cette vulnérabilité permet à un attaquant non authentifié de contourner la politique de sécurité, d'exécuter différentes fonctions en tant qu'administrateur, dont la création de comptes, si l'interface d'administration est accessible. Cette vulnérabilité est activement exploitée et des preuves de concept sont disponibles publiquement.

Liens :

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Watchguard Fireware CVE-2025-9242 9.3 Exécution de code arbitraire à distance, Atteinte à l'intégrité des données 17/09/2025 Exploitée https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015
Gladinet Triofox CVE-2025-12480 9.1 Contournement de la politique de sécurité Exploitée https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-12480

Rappel des publications émises

Dans la période du 10 novembre 2025 au 16 novembre 2025, le CERT-FR a émis les publications suivantes :


Dans la période du 10 novembre 2025 au 16 novembre 2025, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 17 novembre 2025
    Version initiale