⚠️ Ciblage de téléphones Apple 📱 ⚠️ Nouvelle campagne de notification le 2 décembre 2025

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 05 décembre 2025
N° CERTFR-2025-ACT-054
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-054

Gestion du document

Référence CERTFR-2025-ACT-054
Titre Bulletin d'actualité CERTFR-2025-ACT-054
Date de la première version05 décembre 2025
Date de la dernière version05 décembre 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 49

Tableau récapitulatif :

Vulnérabilités critiques du 01/12/25 au 07/12/25
Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Google Android CVE-2025-48572 N/A Élévation de privilèges 01/12/2025 Exploitée CERTFR-2025-AVI-1056
https://source.android.com/docs/security/bulletin/2025-12-01?hl=fr
Google Android CVE-2025-48633 N/A Atteinte à la confidentialité des données 01/12/2025 Exploitée CERTFR-2025-AVI-1056
https://source.android.com/docs/security/bulletin/2025-12-01?hl=fr
Google Android (PowerVR-GPU) CVE-2025-6573 9.8 (NVD) Atteinte à la confidentialité des données 01/12/2025 Pas d'information CERTFR-2025-AVI-1056
https://source.android.com/docs/security/bulletin/2025-12-01?hl=fr

Rappel des alertes CERT-FR

Vulnérabilité dans React Server Components

Le 3 décembre 2025, React a publié un avis de sécurité relatif à la vulnérabilité CVE-2025-55182 affectant React Server Components et qui permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. L'éditeur de Next.js a également publié un avis de sécurité faisant référence à l'identifiant CVE-2025-66478. Cet identifiant a été rejeté en raison du doublon avec l'identifiant utilisé par React. Cette faille de sécurité est également connue sous le nom de React2Shell.

Le CERT-FR a connaissance de preuves de concept publiques pour cette vulnérabilité et anticipe des exploitations en masse.

Liens :

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Scadabr Scadabr CVE-2021-26828 8.8 Non spécifié par l'éditeur 27/04/2022 Exploitée https://github.com/SCADA-LTS/Scada-LTS/pull/2174

Rappel des publications émises

Dans la période du 24 novembre 2025 au 30 novembre 2025, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 05 décembre 2025
    Version initiale