Bulletin d'actualité CERTFR-2025-ACT-011

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 11

Tableau récapitulatif :

Vulnérabilités critiques du 10/03/25 au 16/03/25

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
VMware	Tanzu	CVE-2024-47875	10.0	Injection de code indirecte à distance (XSS)	13/03/2025	Pas d'information	CERTFR-2025-AVI-0210	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25506
Microsoft	Windows	CVE-2025-24983	7.0	Élévation de privilèges	11/03/2025	Exploitée	CERTFR-2025-AVI-0193	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24983
Microsoft	Windows	CVE-2025-24984	4.6	Atteinte à la confidentialité des données	11/03/2025	Exploitée	CERTFR-2025-AVI-0193	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24984
Microsoft	Windows	CVE-2025-24985	7.8	Exécution de code arbitraire	11/03/2025	Exploitée	CERTFR-2025-AVI-0193	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24985
Microsoft	Windows	CVE-2025-24991	5.5	Atteinte à la confidentialité des données	11/03/2025	Exploitée	CERTFR-2025-AVI-0193	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24991
Microsoft	Windows	CVE-2025-24993	7.8	Exécution de code arbitraire	11/03/2025	Exploitée	CERTFR-2025-AVI-0193	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24993
Microsoft	Windows	CVE-2025-26633	7.0	Contournement de la politique de sécurité	11/03/2025	Exploitée	CERTFR-2025-AVI-0193	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26633
Apple	visionOS iPadOS MacOS iOS Safari	CVE-2025-24201	7.1	Contournement de la politique de sécurité	12/03/2025	Exploitée	CERTFR-2025-AVI-0199	https://support.apple.com/en-us/122285 https://support.apple.com/en-us/122283 https://support.apple.com/en-us/122284 https://support.apple.com/en-us/122281
Microsoft	Edge	CVE-2025-24201	7.1	Contournement de la politique de sécurité	12/03/2025	Exploitée	CERTFR-2025-AVI-0203	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24201
GitLab	GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE)	CVE-2025-27407	9.0	Contournement de la politique de sécurité	12/03/2025	Pas d'information	CERTFR-2025-AVI-0205	https://about.gitlab.com/releases/2025/03/12/patch-release-gitlab-17-9-2-released/

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Ivanti	EPM	CVE-2024-13160	9.8	Atteinte à la confidentialité des données	13/01/2025	Exploitée	CERTFR-2025-AVI-0035	https://forums.ivanti.com/s/article/Security-Advisory-EPM-January-2025-for-EPM-2024-and-EPM-2022-SU6
Ivanti	EPM	CVE-2024-13161	9.8	Atteinte à la confidentialité des données	13/01/2025	Exploitée	CERTFR-2025-AVI-0035	https://forums.ivanti.com/s/article/Security-Advisory-EPM-January-2025-for-EPM-2024-and-EPM-2022-SU6
Ivanti	EPM	CVE-2024-13159	9.8	Atteinte à la confidentialité des données	13/01/2025	Exploitée	CERTFR-2025-AVI-0035	https://forums.ivanti.com/s/article/Security-Advisory-EPM-January-2025-for-EPM-2024-and-EPM-2022-SU6

Rappel des publications émises

Dans la période du 10 mars 2025 au 16 mars 2025, le CERT-FR a émis les publications suivantes :

CERTFR-2025-AVI-0187 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2025-AVI-0188 : Multiples vulnérabilités dans les produits Qnap
CERTFR-2025-AVI-0189 : Multiples vulnérabilités dans Google Chrome
CERTFR-2025-AVI-0190 : Multiples vulnérabilités dans les produits SAP
CERTFR-2025-AVI-0191 : Multiples vulnérabilités dans les produits Siemens
CERTFR-2025-AVI-0192 : Multiples vulnérabilités dans Microsoft Office
CERTFR-2025-AVI-0193 : Multiples vulnérabilités dans Microsoft Windows
CERTFR-2025-AVI-0194 : Vulnérabilité dans Microsoft .Net
CERTFR-2025-AVI-0195 : Multiples vulnérabilités dans Microsoft Azure
CERTFR-2025-AVI-0196 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2025-AVI-0197 : Multiples vulnérabilités dans les produits Fortinet
CERTFR-2025-AVI-0198 : Multiples vulnérabilités dans les produits Ivanti
CERTFR-2025-AVI-0199 : Vulnérabilité dans les produits Apple
CERTFR-2025-AVI-0200 : Vulnérabilité dans Apache Tomcat
CERTFR-2025-AVI-0201 : Multiples vulnérabilités dans les produits Adobe
CERTFR-2025-AVI-0202 : Vulnérabilité dans Joomla!
CERTFR-2025-AVI-0203 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2025-AVI-0204 : Multiples vulnérabilités dans les produits Palo Alto Networks
CERTFR-2025-AVI-0205 : Multiples vulnérabilités dans GitLab
CERTFR-2025-AVI-0206 : Vulnérabilité dans Juniper Networks Junos OS
CERTFR-2025-AVI-0207 : Multiples vulnérabilités dans Cisco IOS XR
CERTFR-2025-AVI-0208 : Vulnérabilité dans Microsoft Dataverse
CERTFR-2025-AVI-0209 : Multiples vulnérabilités dans PHP
CERTFR-2025-AVI-0210 : Multiples vulnérabilités dans VMware Tanzu
CERTFR-2025-AVI-0211 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2025-AVI-0212 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2025-AVI-0213 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2025-AVI-0214 : Multiples vulnérabilités dans les produits IBM

Référence	CERTFR-2025-ACT-011
Titre	Bulletin d'actualité CERTFR-2025-ACT-011
Date de la première version	17 mars 2025
Date de la dernière version	17 mars 2025
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-011

Gestion du document

Vulnérabilités significatives de la semaine 11

Tableau récapitulatif :

Autres vulnérabilités

Tableau récapitulatif :

Rappel des publications émises

Gestion détaillée du document