Bulletin d'actualité CERTFR-2026-ACT-002

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 3

Tableau récapitulatif :

Vulnérabilités critiques du 12/01/26 au 18/01/26

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Fortinet	FortiSIEM	CVE-2025-64155	9.8 (NVD)	Exécution de code arbitraire à distance	13/01/2026	Exploitée	CERTFR-2026-AVI-0035	https://www.fortiguard.com/psirt/FG-IR-25-772
Microsoft	Windows	CVE-2026-20805	5.5 (NVD)	Atteinte à la confidentialité des données	13/01/2026	Exploitée	CERTFR-2026-AVI-0044	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20805
IBM	Sterling	CVE-2025-12383	9.4 (NVD)	Contournement de la politique de sécurité	12/01/2026	Code d'exploitation public	CERTFR-2026-AVI-0061	https://www.ibm.com/support/pages/node/7256865
Microsoft	Azure	CVE-2026-20965	7.5 (NVD)	Élévation de privilèges	13/01/2026	Code d'exploitation public	CERTFR-2026-AVI-0044	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20965
Fortinet	FortiClientEMS	CVE-2025-59922	7.2 (NVD)	Injection SQL (SQLi)	13/01/2026	Code d'exploitation public	CERTFR-2026-AVI-0035	https://www.fortiguard.com/psirt/FG-IR-25-735
Palo Alto Networks	PAN-OS, Prisma Access	CVE-2026-0227	6.6 (NVD)	Déni de service à distance	14/01/2026	Code d'exploitation public	CERTFR-2026-AVI-0049	https://security.paloaltonetworks.com/CVE-2026-0227
Siemens	SIMATIC, SCALANCE	CVE-2025-40805	10 (NVD)	Contournement de la politique de sécurité	13/01/2026	Pas d'information	CERTFR-2026-AVI-0032	https://cert-portal.siemens.com/productcert/html/ssa-001536.html
Mozilla	Firefox	CVE-2026-0881	10 (NVD)	Contournement de la politique de sécurité	13/01/2026	Pas d'information	CERTFR-2026-AVI-0038	https://www.mozilla.org/en-US/security/advisories/mfsa2026-01/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-04/
SAP	S/4HANA	CVE-2026-0501	9.9 (NVD)	Injection SQL (SQLi)	13/01/2026	Pas d'information	CERTFR-2026-AVI-0034	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html
Microsoft	Windows, .Net	CVE-2024-55414	9.8 (NVD)	Élévation de privilèges	13/01/2026	Pas d'information	CERTFR-2026-AVI-0044	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-55414
Mozilla	Firefox, Firefox ESR	CVE-2026-0879	9.8 (NVD)	Contournement de la politique de sécurité	13/01/2026	Pas d'information	CERTFR-2026-AVI-0038	https://www.mozilla.org/en-US/security/advisories/mfsa2026-03/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-02/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-01/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-05/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-04/
Mozilla	Firefox, Firefox ESR	CVE-2026-0884	9.8 (NVD)	Non spécifié par l'éditeur	13/01/2026	Pas d'information	CERTFR-2026-AVI-0038	https://www.mozilla.org/en-US/security/advisories/mfsa2026-03/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-01/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-05/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-04/
Mozilla	Firefox, Thunderbird	CVE-2026-0892	9.8 (NVD)	Exécution de code arbitraire	13/01/2026	Pas d'information	CERTFR-2026-AVI-0038	https://www.mozilla.org/en-US/security/advisories/mfsa2026-01/ https://www.mozilla.org/en-US/security/advisories/mfsa2026-04/
Fortinet	FortiOS, FortiSwitchManager, FortiSASE	CVE-2025-25249	9.8 (NVD)	Exécution de code arbitraire à distance	13/01/2026	Pas d'information	CERTFR-2026-AVI-0035	https://www.fortiguard.com/psirt/FG-IR-25-084
Fortinet	FortiFone	CVE-2025-47855	9.8 (NVD)	Atteinte à la confidentialité des données	13/01/2026	Pas d'information	CERTFR-2026-AVI-0035	https://www.fortiguard.com/psirt/FG-IR-25-260
SAP	Wily Introscope Enterprise Manager	CVE-2026-0500	9.6 (NVD)	Exécution de code arbitraire à distance	13/01/2026	Pas d'information	CERTFR-2026-AVI-0034	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html
SAP	Landscape Transformation	CVE-2026-0491	9.1 (NVD)	Exécution de code arbitraire à distance	13/01/2026	Pas d'information	CERTFR-2026-AVI-0034	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html
SAP	S/4HANA	CVE-2026-0498	9.1 (NVD)	Exécution de code arbitraire à distance	13/01/2026	Pas d'information	CERTFR-2026-AVI-0034	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Google	Pixel	CVE-2025-36937	9.8	Exécution de code arbitraire à distance	02/12/2025	Pas d'information	https://source.android.com/docs/security/bulletin/pixel/2025-12-01
Veeam	Veeam Backup & Replication	CVE-2025-55125	9.8	Exécution de code arbitraire à distance	06/01/2026	Pas d'information	https://www.veeam.com/kb4792
Grafana	Grafana Enterprise	CVE-2025-41115	10	Élévation de privilèges	19/11/2025	Pas d'information	https://grafana.com/blog/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/
Redis	Redis	CVE-2025-62507	7.7	Exécution de code arbitraire à distance	02/11/2025	Code d'exploitation public	https://github.com/redis/redis/security/advisories/GHSA-jhjx-x4cf-4vm8
Anthropic	Claude Code	CVE-2025-66032	8.7	Exécution de code arbitraire à distance	03/12/2025	Code d'exploitation public	https://github.com/anthropics/claude-code/security/advisories/GHSA-xq4m-mc3c-vvg3
VMware	Fusion, ESXi, Telco Cloud Platform, Telco Cloud Infrastructure, Workstation	CVE-2025-22226	7.1	Atteinte à la confidentialité des données	04/03/2025	Exploitée	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
VMware	Fusion, ESXi, Telco Cloud Platform, Telco Cloud Infrastructure, Workstation	CVE-2025-22225	8.2	Contournement de la politique de sécurité	04/03/2025	Exploitée	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
VMware	Fusion, ESXi, Telco Cloud Platform, Telco Cloud Infrastructure, Workstation, Cloud Foundation	CVE-2025-22224	9.3	Exécution de code arbitraire à distance	04/03/2025	Exploitée	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

CVE-2025-20393 : Vulnérabilités dans Cisco Secure Email Gateway et Cisco Secure Email and Web Manager

Le 17 décembre 2025, Cisco a publié un avis de sécurité ainsi qu'un billet de blogue concernant une vulnérabilité activement exploitée affectant le serveur Cisco Secure Email Gateway et Cisco Secure Email and Web Manager, lorsque la fonctionnalité Spam Quarantine, désactivée par défaut, est activée.
La vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Des correctifs sont disponibles depuis le 15 janvier 2026

Liens :

Rappel des publications émises

Dans la période du 12 janvier 2026 au 18 janvier 2026, le CERT-FR a émis les publications suivantes :

CERTFR-2026-AVI-0023 : Multiples vulnérabilités dans les produits Axis
CERTFR-2026-AVI-0024 : Multiples vulnérabilités dans VMware Tanzu Greenplum Backup and Restore
CERTFR-2026-AVI-0025 : Vulnérabilité dans Microsoft Edge
CERTFR-2026-AVI-0026 : Vulnérabilité dans Google Pixel
CERTFR-2026-AVI-0027 : Vulnérabilité dans NetApp ONTAP
CERTFR-2026-AVI-0028 : Multiples vulnérabilités dans MariaDB
CERTFR-2026-AVI-0029 : Multiples vulnérabilités dans VMware Tanzu Gemfire
CERTFR-2026-AVI-0030 : Vulnérabilité dans MISP
CERTFR-2026-AVI-0031 : Vulnérabilité dans le greffon VSCode pour Spring CLI
CERTFR-2026-AVI-0032 : Multiples vulnérabilités dans les produits Siemens
CERTFR-2026-AVI-0033 : Multiples vulnérabilités dans les produits Schneider Electric
CERTFR-2026-AVI-0034 : Multiples vulnérabilités dans les produits SAP
CERTFR-2026-AVI-0035 : Multiples vulnérabilités dans les produits Fortinet
CERTFR-2026-AVI-0036 : Multiples vulnérabilités dans Suricata
CERTFR-2026-AVI-0037 : Multiples vulnérabilités dans Typo3
CERTFR-2026-AVI-0038 : Multiples vulnérabilités dans les produits Mozilla
CERTFR-2026-AVI-0039 : Multiples vulnérabilités dans Node.js
CERTFR-2026-AVI-0040 : Multiples vulnérabilités dans Google Chrome
CERTFR-2026-AVI-0041 : Multiples vulnérabilités dans les produits Elastic
CERTFR-2026-AVI-0042 : Multiples vulnérabilités dans les produits HPE Aruba Networking
CERTFR-2026-AVI-0043 : Multiples vulnérabilités dans Microsoft Office
CERTFR-2026-AVI-0044 : Multiples vulnérabilités dans Microsoft Windows
CERTFR-2026-AVI-0045 : Multiples vulnérabilités dans Microsoft Azure
CERTFR-2026-AVI-0046 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2026-AVI-0047 : Vulnérabilité dans F5 NGINX Ingress Controller
CERTFR-2026-AVI-0048 : Multiples vulnérabilités dans Wireshark
CERTFR-2026-AVI-0049 : Multiples vulnérabilités dans les produits Palo Alto Networks
CERTFR-2026-AVI-0050 : Multiples vulnérabilités dans les produits Juniper Networks
CERTFR-2026-AVI-0051 : Multiples vulnérabilités dans les produits Mozilla
CERTFR-2026-AVI-0052 : Multiples vulnérabilités dans Mattermost Server
CERTFR-2026-AVI-0053 : Vulnérabilité dans Traefik
CERTFR-2026-AVI-0054 : Multiples vulnérabilités dans Centreon Infra Monitoring
CERTFR-2026-AVI-0055 : Multiples vulnérabilités dans GLPI
CERTFR-2026-AVI-0056 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2026-AVI-0057 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
CERTFR-2026-AVI-0058 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2026-AVI-0059 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2026-AVI-0060 : Vulnérabilité dans Apache Struts
CERTFR-2026-AVI-0061 : Multiples vulnérabilités dans les produits IBM

Dans la période du 12 janvier 2026 au 18 janvier 2026, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2025-AVI-1122 : Multiples vulnérabilités dans Mattermost Server

Référence	CERTFR-2026-ACT-002
Titre	Bulletin d'actualité CERTFR-2026-ACT-002
Date de la première version	19 janvier 2026
Date de la dernière version	19 janvier 2026
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2026-ACT-002

Gestion du document

Vulnérabilités significatives de la semaine 3

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

CVE-2025-20393 : Vulnérabilités dans Cisco Secure Email Gateway et Cisco Secure Email and Web Manager

Liens :

Rappel des publications émises

Gestion détaillée du document