Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 13

Tableau récapitulatif :

Vulnérabilités critiques du 24/03/25 au 30/03/25
Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
VMware Tanzu CVE-2024-47875 10 Injection de code indirecte à distance (XSS) 26/03/2025 Pas d'information CERTFR-2025-AVI-0243
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25543
Microsoft Azure CVE-2025-1974 9.8 Exécution de code arbitraire à distance, Atteinte à la confidentialité des données 24/03/2025 Pas d'information CERTFR-2025-AVI-0239
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-1974
Microsoft Edge CVE-2025-2783 8.3 Non spécifié par l'éditeur 26/03/2025 Exploitée CERTFR-2025-AVI-0247
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-2783
Google Chrome CVE-2025-2783 8.3 Non spécifié par l'éditeur 26/03/2025 Exploitée CERTFR-2025-AVI-0241
https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html
Mozilla Firefox, Firefox ESR CVE-2025-2857 10 Contournement de la politique de sécurité 27/03/2025 Pas d'information CERTFR-2025-AVI-0251
https://www.mozilla.org/en-US/security/advisories/mfsa2025-19/

CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513 et CVE-2025-24514 : Multiples vulnérabilités dans le contrôleur Ingress NGINX pour Kubernetes

Ces vulnérabilités permettent à un attaquant non authentifié d'exécuter du code arbitraire à distance via l'injection d'une configuration NGINX arbitraire. Elles sont corrigées dans les versions v1.12.1 et v1.11.5 d'ingress-nginx.
Le CERT-FR a connaissance de preuves de concept disponibles sur Internet.

Lien :

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Reviewdog action-composite-template, action-setup, action-typos, action-ast-grep, action-staticcheck, action-shellcheck CVE-2025-30154 8.6 Atteinte à la confidentialité des données Exploitée https://github.com/reviewdog/reviewdog/security/advisories/GHSA-qmg3-hpqr-gqvc
Sitecore cms CVE-2019-9875 8.8 Exécution de code arbitraire à distance, Injection de requêtes illégitimes par rebond (CSRF) Exploitée https://dev.sitecore.net/Downloads.aspx
Sitecore cms, experience_platform CVE-2019-9874 9.8 Exécution de code arbitraire à distance, Injection de requêtes illégitimes par rebond (CSRF) Exploitée https://dev.sitecore.net/Downloads.aspx
Palo Alto Networks Cortex XDR Agent CVE-2024-8690 5.6 Contournement de la politique de sécurité 11/09/2024Code d'exploitation publichttps://security.paloaltonetworks.com/CVE-2024-8690
Laravel framework CVE-2024-13918 8 Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité Code d'exploitation publichttps://github.com/laravel/framework/releases/tag/v11.36.0
Laravel framework CVE-2024-13919 8 Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité Code d'exploitation publichttps://github.com/laravel/framework/releases/tag/v11.36.0
Microsoft Windows CVE-2025-24071 7.5 Atteinte à la confidentialité des données, Contournement de la politique de sécurité 11/03/2025 Exploitée https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071

CVE-2025-2825 : Vulnérabilité dans CrushFTP

La vulnérabilité CVE-2025-2825 affecte CrushFTP et permet à un attaquant de contourner l'authentification. Une preuve de concept est disponible publiquement.

Lien :

Rappel des publications émises

Dans la période du 24 mars 2025 au 30 mars 2025, le CERT-FR a émis les publications suivantes :