Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 13
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| VMware | Tanzu | CVE-2024-47875 | 10 | Injection de code indirecte à distance (XSS) | 26/03/2025 | Pas d'information | CERTFR-2025-AVI-0243 | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25543 |
| Microsoft | Azure | CVE-2025-1974 | 9.8 | Exécution de code arbitraire à distance, Atteinte à la confidentialité des données | 24/03/2025 | Pas d'information | CERTFR-2025-AVI-0239 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-1974 |
| Microsoft | Edge | CVE-2025-2783 | 8.3 | Non spécifié par l'éditeur | 26/03/2025 | Exploitée | CERTFR-2025-AVI-0247 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-2783 |
| Chrome | CVE-2025-2783 | 8.3 | Non spécifié par l'éditeur | 26/03/2025 | Exploitée | CERTFR-2025-AVI-0241 | https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html | |
| Mozilla | Firefox, Firefox ESR | CVE-2025-2857 | 10 | Contournement de la politique de sécurité | 27/03/2025 | Pas d'information | CERTFR-2025-AVI-0251 | https://www.mozilla.org/en-US/security/advisories/mfsa2025-19/ |
CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513 et CVE-2025-24514 : Multiples vulnérabilités dans le contrôleur Ingress NGINX pour Kubernetes
Ces vulnérabilités permettent à un attaquant non authentifié d'exécuter du code arbitraire à distance via l'injection d'une configuration NGINX arbitraire. Elles sont corrigées dans les versions v1.12.1 et v1.11.5 d'ingress-nginx.Le CERT-FR a connaissance de preuves de concept disponibles sur Internet.
Lien :
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Reviewdog | action-composite-template, action-setup, action-typos, action-ast-grep, action-staticcheck, action-shellcheck | CVE-2025-30154 | 8.6 | Atteinte à la confidentialité des données | Exploitée | https://github.com/reviewdog/reviewdog/security/advisories/GHSA-qmg3-hpqr-gqvc |
|
| Sitecore | cms | CVE-2019-9875 | 8.8 | Exécution de code arbitraire à distance, Injection de requêtes illégitimes par rebond (CSRF) | Exploitée | https://dev.sitecore.net/Downloads.aspx | |
| Sitecore | cms, experience_platform | CVE-2019-9874 | 9.8 | Exécution de code arbitraire à distance, Injection de requêtes illégitimes par rebond (CSRF) | Exploitée | https://dev.sitecore.net/Downloads.aspx | |
| Palo Alto Networks | Cortex XDR Agent | CVE-2024-8690 | 5.6 | Contournement de la politique de sécurité | 11/09/2024 | Code d'exploitation public | https://security.paloaltonetworks.com/CVE-2024-8690 |
| Laravel | framework | CVE-2024-13918 | 8 | Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité | Code d'exploitation public | https://github.com/laravel/framework/releases/tag/v11.36.0 | |
| Laravel | framework | CVE-2024-13919 | 8 | Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité | Code d'exploitation public | https://github.com/laravel/framework/releases/tag/v11.36.0 | |
| Microsoft | Windows | CVE-2025-24071 | 7.5 | Atteinte à la confidentialité des données, Contournement de la politique de sécurité | 11/03/2025 | Exploitée | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071 |
CVE-2025-31161 : Vulnérabilité dans CrushFTP
La vulnérabilité CVE-2025-31161 affecte CrushFTP et permet à un attaquant de contourner l'authentification. Une preuve de concept est disponible publiquement.Cette vulnérabilité a porté l'identifiant CVE-2025-2825 dans un premier temps.
