Bulletin d'actualité CERTFR-2025-ACT-009

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 9

Tableau récapitulatif :

Vulnérabilités critiques du 24/02/25 au 02/03/25

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
NetApp	SolidFire & HCI Management Node	CVE-2021-42377	9.8	Exécution de code arbitraire à distance	21/02/2025	Pas d'information	CERTFR-2025-AVI-0158	https://security.netapp.com/advisory/ntap-20211223-0002/
IBM	Cognos Dashboards	CVE-2021-44906	9.8	Exécution de code arbitraire à distance	27/02/2025	Pas d'information	CERTFR-2025-AVI-0170	https://www.ibm.com/support/pages/node/7184217
IBM	Cognos Analytics	CVE-2022-37434	9.8	Exécution de code arbitraire à distance	27/02/2025	Pas d'information	CERTFR-2025-AVI-0170	https://www.ibm.com/support/pages/node/7183676
NetApp	SolidFire & HCI Management Node, SolidFire & HCI Storage Node (Element Software), HCI Compute Node (Bootstrap OS)	CVE-2022-47629	9.8	Déni de service à distance, Atteinte à la confidentialité des données, Atteinte à l'intégrité des données	21/02/2025	Pas d'information	CERTFR-2025-AVI-0158	https://security.netapp.com/advisory/ntap-20230316-0011/
NetApp	SolidFire & HCI Management Node, SolidFire & HCI Storage Node (Element Software), NetApp HCI Compute Node (Bootstrap OS)	CVE-2022-3515	9.8	Exécution de code arbitraire à distance	21/02/2025	Pas d'information	CERTFR-2025-AVI-0158	https://security.netapp.com/advisory/ntap-20230706-0008/
IBM	Cognos Analytics	CVE-2023-26136	9.8	Exécution de code arbitraire à distance	25/02/2025	Pas d'information	CERTFR-2025-AVI-0170	https://www.ibm.com/support/pages/node/7184092
IBM	QRadar	CVE-2024-39331	9.8	Exécution de code arbitraire	27/02/2025	Pas d'information	CERTFR-2025-AVI-0170	https://www.ibm.com/support/pages/node/7183676
IBM	Cognos Controller, Cognos Analytics	CVE-2024-38999	10	Exécution de code arbitraire à distance	27/02/2025	Pas d'information	CERTFR-2025-AVI-0170	https://www.ibm.com/support/pages/node/7183676
IBM	Cognos Analytics	CVE-2024-47561	9.2	Exécution de code arbitraire à distance	27/02/2025	Pas d'information	CERTFR-2025-AVI-0170	https://www.ibm.com/support/pages/node/7184217 https://www.ibm.com/support/pages/node/7183676
IBM	Cognos Analytics	CVE-2024-45216	9.8	Contournement de la politique de sécurité	27/02/2025	Pas d'information	CERTFR-2025-AVI-0170	https://www.ibm.com/support/pages/node/7183676
Ubuntu	Ubuntu	CVE-2024-47685	9.1	Non spécifié	27/02/2025	Pas d'information	CERTFR-2025-AVI-0168	https://ubuntu.com/security/notices/USN-7293-1 https://ubuntu.com/security/notices/USN-7303-1 https://ubuntu.com/security/notices/USN-7301-1 https://ubuntu.com/security/notices/USN-7304-1 https://ubuntu.com/security/notices/USN-7295-1 https://ubuntu.com/security/notices/USN-7294-2 https://ubuntu.com/security/notices/USN-7294-1

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Oracle	Agile PLM	CVE-2024-20953	8.8	Exécution de code arbitraire à distance	16/01/2024	Exploitée	https://www.oracle.com/security-alerts/cpujan2024.html
Adobe	ColdFusion	CVE-2017-3066	9.8	Exécution de code arbitraire à distance	25/04/2017	Exploitée	https://helpx.adobe.com/security/products/coldfusion/apsb17-14.html
Synacor	Zimbra Collaboration	CVE-2023-34192	9	Injection de code indirecte à distance (XSS)	30/05/2023	Exploitée	https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
Microsoft	Partner Center	CVE-2024-49035	9.8	Élévation de privilèges	26/11/2024	Exploitée	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49035
F5	BIG-IP	CVE-2025-20029	8.7	Exécution de code arbitraire à distance	05/02/2025	Code d'exploitation public	https://my.f5.com/manage/s/article/K000148587

CVE-2025-24752 : Vulnérabilité dans le greffon Essential Addons for Elementor pour WordPress

La vulnérabilité CVE-2025-24752 permet à un attaquant d'effectuer une injection de code indirecte à distance (XSS) réfléchie dans le greffon Essential Addons for Elementor pour WordPress. Le CERT-FR a connaissance d'un preuve de concept publique pour cette vulnérabilité.

Lien :

https://github.com/WPDevelopers/essential-addons-for-elementor-lite/tree/v6.0.15

Rappel des publications émises

Dans la période du 24 février 2025 au 02 mars 2025, le CERT-FR a émis les publications suivantes :

CERTFR-2025-AVI-0155 : Vulnérabilité dans les produits Moxa
CERTFR-2025-AVI-0156 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2025-AVI-0157 : Vulnérabilité dans Exim
CERTFR-2025-AVI-0158 : Multiples vulnérabilités dans les produits NetApp
CERTFR-2025-AVI-0159 : Vulnérabilité dans Progress Telerik Reporting
CERTFR-2025-AVI-0160 : Vulnérabilité dans Google Chrome
CERTFR-2025-AVI-0161 : Vulnérabilité dans LibreOffice
CERTFR-2025-AVI-0162 : Multiples vulnérabilités dans GLPI
CERTFR-2025-AVI-0163 : Vulnérabilité dans les commutateurs Cisco Nexus
CERTFR-2025-AVI-0164 : Multiples vulnérabilités dans GitLab
CERTFR-2025-AVI-0165 : Vulnérabilité dans Xen
CERTFR-2025-AVI-0166 : Multiples vulnérabilités dans MongoDB
CERTFR-2025-AVI-0167 : Vulnérabilité dans Synology DSM
CERTFR-2025-AVI-0168 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2025-AVI-0169 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2025-AVI-0170 : Multiples vulnérabilités dans les produits IBM

Référence	CERTFR-2025-ACT-009
Titre	Bulletin d'actualité CERTFR-2025-ACT-009
Date de la première version	03 mars 2025
Date de la dernière version	03 mars 2025
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-009

Gestion du document

Vulnérabilités significatives de la semaine 9

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

CVE-2025-24752 : Vulnérabilité dans le greffon Essential Addons for Elementor pour WordPress

Lien :

Rappel des publications émises

Gestion détaillée du document