Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs. Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information. Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 17
Tableau récapitulatif :
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Quest | KACE Systems Management Appliance | CVE-2025-32975 | 10 | Contournement de la politique de sécurité | 24/06/2025 | Exploitée | https://support.quest.com/fr-fr/kb/4379499/quest-response-to-kace-sma-vulnerabilities-cve-2025-32975-cve-2025-32976-cve-2025-32977-cve-2025-32978 |
| Simple-Help | Simplehelp | CVE-2024-57726 | 9.9 | Élévation de privilèges | 15/01/2025 | Exploitée | https://guides.simple-help.com/kb---security-vulnerabilities-01-2025#security-vulnerabilities-in-simplehelp-5-5-7-and-earlier |
| Coreweave | Marimo | CVE-2026-39987 | 9.3 | Non spécifié par l'éditeur | 08/04/2026 | Exploitée | https://github.com/marimo-team/marimo/security/advisories/GHSA-2679-6mx9-h9xc |
| Microsoft | Windows | CVE-2026-33825 | 7.8 | Élévation de privilèges | 15/04/2026 | Exploitée | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825 |
| Papercut | Papercut Ng, Papercut Mf | CVE-2023-27351 | 7.5 | Contournement de la politique de sécurité | 20/04/2023 | Exploitée | https://www.papercut.com/kb/Main/PO-1216-and-PO-1219 |
| Cisco | Catalyst Sd-Wan Manager | CVE-2026-20133 | 7.5 | Atteinte à la confidentialité des données, Contournement de la politique de sécurité | 25/02/2026 | Exploitée | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v |
| Jetbrains | Teamcity | CVE-2024-27199 | 7.3 | Non spécifié par l'éditeur | 04/03/2024 | Exploitée | https://www.jetbrains.com/privacy-security/issues-fixed/ |
| Kentico | Xperience | CVE-2025-2749 | 7.2 | Exécution de code arbitraire à distance | 24/03/2025 | Exploitée | https://docs.kentico.com/13/installation/hotfix-instructions-xperience-13#section-30 |
| Simple-Help | Simplehelp | CVE-2024-57728 | 7.2 | Exécution de code arbitraire à distance | 15/01/2025 | Exploitée | https://guides.simple-help.com/kb---security-vulnerabilities-01-2025#security-vulnerabilities-in-simplehelp-5-5-7-and-earlier |
| Dlink | Dir-823X Firmware | CVE-2025-29635 | 8.8 | Exécution de code arbitraire à distance | 25/03/2025 | Exploitée | https://guides.simple-help.com/kb---security-vulnerabilities-01-2025#security-vulnerabilities-in-simplehelp-5-5-7-and-earlier |
| Synacor | Zimbra Collaboration Suite | CVE-2025-48700 | 6.1 | Exécution de code arbitraire, Atteinte à la confidentialité des données, Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité | 23/06/2025 | Exploitée | https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories |
| Chrome | CVE-2025-11460 | 8.8 | Exécution de code arbitraire à distance | 08/10/2025 | Code d'exploitation public | https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop.html |
|
| Microsoft | Edge | CVE-2025-11460 | 8.8 | Exécution de code arbitraire à distance | 08/10/2025 | Code d'exploitation public | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-11460 |
| Splunk | Splunk AppDynamics Private Synthetic Agent | CVE-2025-11460 | 8.8 | Exécution de code arbitraire à distance | 08/10/2025 | Code d'exploitation public | https://advisory.splunk.com/advisories/SVD-2026-0309 |
