Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Windows Server 2012 (Server Core installation) versions antérieures à 6.2.9200.25728
- Windows Server 2012 R2 (Server Core installation) versions antérieures à 6.3.9600.22826
- Windows Server 2012 R2 versions antérieures à 6.3.9600.22826
- Windows Server 2012 versions antérieures à 6.2.9200.25728
- Windows Server 2016 (Server Core installation) versions antérieures à 10.0.14393.8524
- Windows Server 2016 versions antérieures à 10.0.14393.8524
- Windows Server 2019 (Server Core installation) versions antérieures à 10.0.17763.7922
- Windows Server 2019 versions antérieures à 10.0.17763.7922
- Windows Server 2022 (Server Core installation) versions antérieures à 10.0.20348.4297
- Windows Server 2022 versions antérieures à 10.0.20348.4297
- Windows Server 2022, 23H2 Edition (Server Core installation) versions antérieures à 10.0.25398.1916
- Windows Server 2025 (Server Core installation) versions antérieures à 10.0.26100.6905
- Windows Server 2025 versions antérieures à 10.0.26100.6905
La vulnérabilité concerne la fonctionnalité Windows Server Update Service (WSUS) activée sur Windows Server.
Résumé
Une vulnérabilité a été découverte dans Microsoft Windows Server Update Service. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
L'éditeur a publié un nouveau correctif de sécurité pour cette vulnérabilité qui remplace le correctif précédemment listé dans l'avis CERTFR-2025-AVI-0879.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft Windows CVE-2025-59287 du 24 octobre 2025 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
- Référence CVE CVE-2025-59287 https://www.cve.org/CVERecord?id=CVE-2025-59287
