⚠️ Ciblage de téléphones Apple 📱 ⚠️ Nouvelle campagne de notification le 2 décembre 2025

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 décembre 2025
N° CERTFR-2025-ACT-055
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-055

Gestion du document

Référence CERTFR-2025-ACT-055
Titre Bulletin d'actualité CERTFR-2025-ACT-055
Date de la première version15 décembre 2025
Date de la dernière version15 décembre 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 50

Tableau récapitulatif :

Vulnérabilités critiques du 08/12/25 au 14/12/25
Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Microsoft Windows CVE-2025-62221 7.8 (NVD) Élévation de privilèges 09/12/2025 Exploitée CERTFR-2025-AVI-1092
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62221
Google Chromium CVE-2025-14174 8.8 (NVD) Élévation de privilèges 09/12/2025 Exploitée CERTFR-2025-AVI-1096
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html
Apple Webkit CVE-2025-14174 8.8 (NVD) Élévation de privilèges 12/12/2025 Exploitée CERTFR-2025-AVI-1110
https://support.apple.com/en-us/125889
Microsoft Edge CVE-2025-14174 8.8 (NVD) Élévation de privilèges 09/12/2025 Exploitée CERTFR-2025-AVI-1103
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-14174
Ivanti Endpoint Manager (EPM) CVE-2025-10573 9.6 (NVD) Exécution de code arbitraire à distance 09/12/2025Code d'exploitation publicCERTFR-2025-AVI-1088
https://forums.ivanti.com/s/article/Security-Advisory-EPM-December-2025-for-EPM-2024
Traefik Traefik CVE-2025-66490 6.9 (NVD) Élévation de privilèges, Contournement de la politique de sécurité 08/12/2025Code d'exploitation publicCERTFR-2025-AVI-1077
https://github.com/traefik/traefik/security/advisories/GHSA-gm3x-23wp-hc2c
SAP Solution Manager CVE-2025-42880 9.9 (NVD) Exécution de code arbitraire à distance 09/12/2025 Pas d'information CERTFR-2025-AVI-1079
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
Mozilla Firefox ESR, Thunderbird, Firefox CVE-2025-14321 9.8 (NVD) Non spécifié par l'éditeur 09/12/2025 Pas d'information CERTFR-2025-AVI-1087
https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
Mozilla Thunderbird, Firefox CVE-2025-14324 9.8 (NVD) Non spécifié par l'éditeur 09/12/2025 Pas d'information CERTFR-2025-AVI-1087
https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-93/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
Mozilla Thunderbird, Firefox CVE-2025-14326 9.8 (NVD) Non spécifié par l'éditeur 09/12/2025 Pas d'information CERTFR-2025-AVI-1087
https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
Mozilla Thunderbird, Firefox CVE-2025-14330 9.8 (NVD) Non spécifié par l'éditeur 09/12/2025 Pas d'information CERTFR-2025-AVI-1087
https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
Fortinet FortiSwitchManager, FortiOS, FortiProxy, FortiWeb CVE-2025-59718 9.8 (NVD) Contournement de la politique de sécurité 09/12/2025 Pas d'information CERTFR-2025-AVI-1084
https://www.fortiguard.com/psirt/FG-IR-25-647
Fortinet FortiSwitchManager, FortiOS, FortiProxy, FortiWeb CVE-2025-59719 9.8 (NVD) Contournement de la politique de sécurité 09/12/2025 Pas d'information CERTFR-2025-AVI-1084
https://www.fortiguard.com/psirt/FG-IR-25-647
SAP Commerce Cloud CVE-2025-55754 9.6 (NVD) Contournement de la politique de sécurité 09/12/2025 Pas d'information CERTFR-2025-AVI-1079
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
SAP jConnect CVE-2025-42928 9.1 (NVD) Exécution de code arbitraire à distance 09/12/2025 Pas d'information CERTFR-2025-AVI-1079
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
Adobe ColdFusion CVE-2025-61808 9.1 (NVD) Exécution de code arbitraire à distance 09/12/2025 Pas d'information CERTFR-2025-AVI-1085
https://helpx.adobe.com/security/products/coldfusion/apsb25-105.html
Adobe ColdFusion CVE-2025-61809 9.1 (NVD) Contournement de la politique de sécurité 09/12/2025 Pas d'information CERTFR-2025-AVI-1085
https://helpx.adobe.com/security/products/coldfusion/apsb25-105.html
Adobe Coldfusion CVE-2025-61811 9.1 (NVD) Exécution de code arbitraire à distance, Contournement de la politique de sécurité 09/12/2025 Pas d'information CERTFR-2025-AVI-1085
https://helpx.adobe.com/security/products/coldfusion/apsb25-105.html
Microsoft SharePoint Server Subscription Edition CVE-2025-64672 9 (NVD) Injection de code indirecte à distance (XSS) 09/12/2025 Pas d'information CERTFR-2025-AVI-1094
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64672

Rappel des alertes CERT-FR

[MàJ] Vulnérabilité dans React Server Components

[Mise à jour du 11 December 2025] Le CERT-FR a connaissance de multiples exploitations de la vulnérabilité CVE-2025-55182. Certains billets de blogues, non qualifiés par le CERT-FR, ont été ajoutés dans l'alerte, ainsi que des fiches réflexes de compromission système pour leur qualification et endiguement.

Liens :

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Gogs Gogs CVE-2025-8110 8.7 Contournement de la politique de sécurité 11/12/2025 Exploitée https://www.openwall.com/lists/oss-security/2025/12/11/4
Rarlab Winrar CVE-2025-6218 7.8 Exécution de code arbitraire à distance 20/11/2025 Exploitée https://www.win-rar.com/singlenewsview.html?&tx_ttnews%5Btt_news%5D=276&cHash=388885bd3908a40726f535c026f94eb6
Sierrawireless Airlink Es450 Firmware CVE-2018-4063 8.8 Exécution de code arbitraire à distance Exploitée https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-4063
Geoserver Geoserver CVE-2025-58360 9.8 Exécution de code arbitraire à distance 25/11/2025 Exploitée https://osgeo-org.atlassian.net/browse/GEOS-11922
Array Networks ArrayOS AG CVE-2025-66644 9.8 Exécution de code arbitraire à distance 11/05/2025 Exploitée https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-66644
FreePBX FreePBX Endpoint Manager CVE-2025-61675 8.6 Injection SQL (SQLi) 14/10/2025 Code d'exploitation public https://github.com/FreePBX/security-reporting/security/advisories/GHSA-292p-rj6h-54cp

Rappel des publications émises

Dans la période du 08 décembre 2025 au 14 décembre 2025, le CERT-FR a émis les publications suivantes :


Dans la période du 08 décembre 2025 au 14 décembre 2025, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 15 décembre 2025
    Version initiale