Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 12
Tableau récapitulatif :
CVE-2025-23120 : Vulnérabilité dans Veeam Backup & Replication
Le 19 mars 2025, Veeam a publié un avis de sécurité concernant la vulnérabilité CVE-2025-23120. Celle-ci permet l'exécution de code arbitraire à distance, notamment pour l'ensemble des utilisateurs d'un domaine Active Directory si la solution Veeam Backup & Replication est connectée à celui-ci. Une preuve de concept est disponible.Liens :
- https://www.veeam.com/kb4724
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0229/
- https://www.cve.org/CVERecord?id=CVE-2025-23120
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| SAP | SAP NetWeaver Application Server | CVE-2017-12637 | 7.5 | Contournement de la politique de sécurité | 07/08/2017 | Exploitée | |
| tj-actions | changed-files | CVE-2025-30066 | 8.6 | Exécution de code arbitraire à distance | 15/03/2025 | Exploitée | |
| Fortinet | FortiOS, FortiProxy | CVE-2025-24472 | 9.8 | Contournement de la politique de sécurité, Élévation de privilèges | 11/02/2025 | Exploitée | https://fortiguard.fortinet.com/psirt/FG-IR-24-535 |
| Microsoft | Partner Center | CVE-2025-29814 | 9.3 | Élévation de privilèges | 20/03/2025 | Pas d'information | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29814 |
CVE-2025-24813 : Vulnérabilité dans Apache Tomcat
Le 10 mars 2025, Apache a indiqué avoir corrigé la vulnérabilité CVE-2025-24813 dans les versions 9.0.99, 11.0.3 et 10.1.35. Cette vulnérabilité permet une exécution de code arbitraire. La vulnérabilité n'est applicable que dans des configurations particulières, non activées par défaut et détaillées dans les notes de version de l'éditeur. Le CERT-FR a connaissance de preuves de concept publiques, relatives à des cas de tests minimaux et à des tentatives d'utilisations de ces preuves de concept.Liens :
- https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.3
- https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.35
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.99
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0200/
- https://www.cve.org/CVERecord?id=CVE-2025-24813
Problème de sécurité dans Microsoft Windows
Le 18 mars 2025, le CERT-FR a pris connaissance de détails relatifs à un problème de sécurité affectant Microsoft Windows et lié au format de fichier LNK. D'après les chercheurs qui ont publié les détails de ce comportement, Microsoft a indiqué qu'il ne s'agissait pas d'une vulnérabilité.Le CERT-FR rappelle qu'il est important de suivre certaines bonnes pratiques relatives à la cybersécurité. Il est notamment fortement déconseillé de cliquer sur un lien, une pièce jointe ou un exécutable douteux.
