S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 février 2025
N° CERTFR-2025-ACT-007
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-007

Gestion du document

Référence CERTFR-2025-ACT-007
Titre Bulletin d'actualité CERTFR-2025-ACT-007
Date de la première version17 février 2025
Date de la dernière version17 février 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 7

Tableau récapitulatif :

Vulnérabilités critiques du 10/02/25 au 16/02/25
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Siemens CVE-2023-28578 9.3 Contournement de la politique de sécurité
 10/02/2025 Pas d'information CERTFR-2025-AVI-0113
 https://cert-portal.siemens.com/productcert/html/ssa-769027.html
SAP Commerce Cloud
 CVE-2024-45216 9.8 Contournement de la politique de sécurité
 10/02/2025 Pas d'information CERTFR-2025-AVI-0114
 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2025.html
Apple iOS
iPadOS
 CVE-2025-24200 6.1 Contournement de la politique de sécurité
 09/02/2025 Exploitée CERTFR-2025-AVI-0110
 https://support.apple.com/en-us/122174
Ivanti Cloud Service Appliance (CSA)
 CVE-2024-47908 9.1 Exécution de code arbitraire à distance
 10/02/2025 Pas d'information CERTFR-2025-AVI-0121
 https://www.ivanti.com/blog/february-security-update
Microsoft Windows
 CVE-2025-21198 9.0 Exécution de code arbitraire à distance
 10/02/2025 Pas d'information CERTFR-2025-AVI-0118
 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21198
Microsoft Windows
 CVE-2025-21391 7.1 Élévation de privilèges
 10/02/2025 Exploitée CERTFR-2025-AVI-0116
 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21391
Microsoft Windows
 CVE-2025-21418 7.8 Élévation de privilèges
 10/02/2025 Exploitée CERTFR-2025-AVI-0116
 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21418
Adobe Commerce
 CVE-2025-24434 9.1 Élévation de privilèges
Contournement de la politique de sécurité
 10/02/2025 Pas d'information CERTFR-2025-AVI-0122
 https://helpx.adobe.com/security/products/magento/apsb25-08.html
Juniper Networks Session Smart Router
 CVE-2025-21589 9.8 Contournement de la politique de sécurité
 11/02/2025 Pas d'information CERTFR-2025-AVI-0126
 https://supportportal.juniper.net/s/article/2025-02-Out-of-Cycle-Security-Bulletin-Session-Smart-Router-Session-Smart-Conductor-WAN-Assurance-Router-API-Authentication-Bypass-Vulnerability-CVE-2025-21589
Palo Alto Networks PAN-OS
 CVE-2025-0108 8.8 Contournement de la politique de sécurité
 12/02/2025 Exploitée CERTFR-2025-AVI-0128
 https://security.paloaltonetworks.com/CVE-2025-0108
PostgreSQL PostgreSQL
 CVE-2025-1094 8.1 Exécution de code arbitraire à distance
 13/02/2025 Exploitée CERTFR-2025-AVI-0130
 https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/

Autres vulnérabilités

CVE-2024-12754: Vulnérabilité dans AnyDesk

Le 19 décembre 2024, AnyDesk a publié un bulletin de sécurité concernant la vulnérabilité CVE-2024-12754. Elle permet à un attaquant de provoquer une atteinte à l'intégrité des données. Une preuve de concept est disponible pour cette vulnérabilité.

Liens :

CVE-2024-40890 et CVE-2024-40891: Vulnérabilité dans les routeurs Zyxel CPE DSL

Le 4 février 2025, Zyxel a publié un bulletin de sécurité concernant les vulnérabilités CVE-2024-40890 et CVE-2024-40891 affectant les routeurs CPE DSL. Elles permettent à un attaquant authentifié d'exécuter des commandes arbitraires. Ces vulnérabilités sont activement exploitées selon la CISA.

Liens :

Vulnérabilité dans le greffon SPIP 'Saisies pour formulaire'

Le 12 février 2025, SPIP a publié un bulletin de sécurité concernant la vulnérabilité CVE-2024-40890 affectant le greffon "Saisies pour formulaire". Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Liens :

CVE-2024-53704: Vulnérabilité dans SonicWall SonicOS SSLVPN

Le 7 janvier 2024, SonicWall a publié un bulletin de sécurité concernant la vulnérabilité CVE-2024-53704 affectant SonicOS SSLVPN. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité. Une preuve de concept est disponible pour cette vulnérabilité. Le CERT-FR a connaissance de tentative d'exploitation de cette vulnérabilité.

Liens :

Rappel des publications émises

Dans la période du 10 février 2025 au 16 février 2025, le CERT-FR a émis les publications suivantes :


Dans la période du 10 février 2025 au 16 février 2025, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 17 février 2025
    Version initiale