Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 14
Tableau récapitulatif :
Rappel des alertes CERT-FR
Vulnérabilité dans F5 BIG-IP Access Policy Manager
Le 15 octobre 2025, F5 a publié un avis de sécurité concernant entre autres la vulnérabilité CVE-2025-53521. Celle-ci affecte BIG-IP APM et permet à un attaquant non authentifié d'exécuter du code à distance.
Le 29 mars 2026, l'éditeur indique que cette vulnérabilité est exploitée activement.
Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par F5 dans son billet de blogue [1].
Liens :
- Bulletin de sécurité F5 K000156741
- Considérations et conseils à suivre si vous soupçonnez une faille de sécurité sur un système BIG-IP
- [1] Marqueur de compromission pour c05d5254
- Avis CERT-FR CERTFR-2025-AVI-0886 du 16 octobre 2025
- CVE-2025-53521
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Citrix | NetScaler ADC, NetScaler Gateway | CVE-2026-3055 | 9.3 | Atteinte à la confidentialité des données | 23/03/2026 | Exploitée | https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300 |
| Chrome | CVE-2025-10891 | 8.8 | Exécution de code arbitraire à distance | 24/09/2025 | Code d'exploitation public | https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_23.html | |
| Microsoft | Edge | CVE-2025-10891 | 8.8 | Exécution de code arbitraire à distance | 24/09/2025 | Code d'exploitation public | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-10891 |
| Chrome | CVE-2025-2135 | 8.8 | Contournement de la politique de sécurité | 11/03/2025 | Code d'exploitation public | https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_10.html | |
| Microsoft | Edge | CVE-2025-2135 | 8.8 | Contournement de la politique de sécurité | 11/03/2025 | Code d'exploitation public | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-2135 |
Incident de sécurité concernant le paquet Axios pour node
Un incident de compromission de la chaîne d’approvisionnement (supply chain) a affecté Axios via l’écosystème npm. Des versions malveillantes, v1.14.1 et v1.30.4, ont été déployées dans l'écosystème de gestion de paquets node, permettant l'extraction de l'exfiltration de données sensibles ou l'exécution de code malveillant.
Le CERT-FR recommande la vérification et la mise à jour des paquets Axios.
