S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 07 avril 2025
N° CERTFR-2025-ACT-014
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-014

Gestion du document

Référence CERTFR-2025-ACT-014
Titre Bulletin d'actualité CERTFR-2025-ACT-014
Date de la première version07 avril 2025
Date de la dernière version07 avril 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 14

Tableau récapitulatif :

Vulnérabilités critiques du 31/03/25 au 06/04/25
Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
IBM Cognos Dashboards, Db2 CVE-2021-44906 9.8 Exécution de code arbitraire à distance 28/03/2025 Pas d'information CERTFR-2025-AVI-0279
https://www.ibm.com/support/pages/node/7229443
VMware Tanzu Greenplum CVE-2023-24538 9.8 Exécution de code arbitraire à distance 28/03/2025 Pas d'information CERTFR-2025-AVI-0256
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25561
VMware Tanzu Greenplum CVE-2023-24540 9.8 Exécution de code arbitraire à distance 28/03/2025 Pas d'information CERTFR-2025-AVI-0256
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25561
VMware Tanzu Greenplum CVE-2023-29402 9.8 Exécution de code arbitraire à distance 28/03/2025 Pas d'information CERTFR-2025-AVI-0256
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25561
VMware Tanzu Greenplum CVE-2023-29404 9.8 Exécution de code arbitraire à distance 28/03/2025 Pas d'information CERTFR-2025-AVI-0256
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25561
VMware Tanzu Greenplum CVE-2023-29405 9.8 Exécution de code arbitraire à distance 28/03/2025 Pas d'information CERTFR-2025-AVI-0256
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25561
IBM Db2 CVE-2023-52832 9.1 Déni de service à distance 28/03/2025 Pas d'information CERTFR-2025-AVI-0279
https://www.ibm.com/support/pages/node/7229443
VMware Tanzu CVE-2024-24790 9.8 Contournement de la politique de sécurité 28/03/2025 Pas d'information CERTFR-2025-AVI-0256
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25561
VMware Tanzu Greenplum CVE-2023-24531 9.8 Exécution de code arbitraire à distance 28/03/2025 Pas d'information CERTFR-2025-AVI-0256
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25561
IBM Db2 CVE-2024-41110 9.9 Contournement de la politique de sécurité, Élévation de privilèges 28/03/2025 Pas d'information CERTFR-2025-AVI-0279
https://www.ibm.com/support/pages/node/7229443
Ubuntu Ubuntu CVE-2024-47685 9.1 Non spécifié 03/04/2025 Pas d'information CERTFR-2025-AVI-0276
https://ubuntu.com/security/notices/USN-7403-1
https://ubuntu.com/security/notices/USN-7401-1
https://ubuntu.com/security/notices/USN-7393-1
https://ubuntu.com/security/notices/USN-7413-1
VMware Tanzu Greenplum CVE-2024-45337 9.1 Contournement de la politique de sécurité 28/03/2025 Pas d'information CERTFR-2025-AVI-0256
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25565
https://www.ibm.com/support/pages/node/7229443
Apple watchOS, iOS, iPadOS, MacOS, tvOS, Safari, visionOS CVE-2024-54534 9.8 Atteinte à l'intégrité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122372
Apple MacOS CVE-2025-24093 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
Apple iPadOS, iOS CVE-2025-24200 6.1 Contournement de la politique de sécurité 31/03/2025 Exploitée CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122346
https://support.apple.com/en-us/122345
Apple iOS, iPadOS, MacOS, Safari, visionOS CVE-2025-24201 8.8 Contournement de la politique de sécurité 31/03/2025 Exploitée CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122346
https://support.apple.com/en-us/122345
Apple MacOS CVE-2025-24148 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple iPadOS, Safari, MacOS, iOS CVE-2025-24167 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
https://support.apple.com/en-us/122379
Apple MacOS CVE-2025-24172 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple iPadOS, MacOS, iOS CVE-2025-24178 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122377
https://support.apple.com/en-us/122372
https://support.apple.com/en-us/122375
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple MacOS CVE-2025-24181 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple iOS, iPadOS, MacOS, tvOS, visionOS CVE-2025-24190 9.8 Déni de service à distance 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122378
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122377
https://support.apple.com/en-us/122372
https://support.apple.com/en-us/122375
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple MacOS CVE-2025-24195 9.8 Élévation de privilèges 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24196 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
Apple MacOS CVE-2025-24204 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
Apple MacOS CVE-2025-24207 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple iOS, iPadOS, MacOS, tvOS, visionOS CVE-2025-24211 9.8 Déni de service à distance 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122378
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122377
https://support.apple.com/en-us/122372
https://support.apple.com/en-us/122375
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple iOS, iPadOS, MacOS, tvOS, visionOS CVE-2025-24230 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122378
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122377
https://support.apple.com/en-us/122372
https://support.apple.com/en-us/122375
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple MacOS CVE-2025-24231 9.8 Atteinte à l'intégrité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24232 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24233 9.8 Atteinte à l'intégrité des données, Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple iPadOS, visionOS, MacOS, iOS CVE-2025-24237 9.8 Déni de service à distance 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122378
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122372
https://support.apple.com/en-us/122375
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple iPadOS, MacOS, tvOS, iOS CVE-2025-24238 9.8 Élévation de privilèges 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122377
https://support.apple.com/en-us/122375
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple MacOS CVE-2025-24241 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24245 9.8 Atteinte à la confidentialité des données, Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
Apple MacOS CVE-2025-24246 9.8 Atteinte à la confidentialité des données, Exécution de code arbitraire à distance 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24247 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24249 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24250 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24253 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24256 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24259 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24260 9.8 Déni de service à distance 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24263 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
Apple iOS, iPadOS, MacOS, tvOS, Safari, visionOS CVE-2025-24264 9.8 Déni de service à distance 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122378
https://support.apple.com/en-us/122379
https://support.apple.com/en-us/122377
https://support.apple.com/en-us/122372
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple MacOS CVE-2025-24265 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24266 9.8 Déni de service à distance 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-24269 9.8 Déni de service à distance 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
Apple MacOS CVE-2025-24273 9.8 Atteinte à l'intégrité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-30424 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple iOS, iPadOS, MacOS, tvOS, visionOS CVE-2025-30426 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122378
https://support.apple.com/en-us/122377
https://support.apple.com/en-us/122372
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple iPadOS, visionOS, MacOS, iOS CVE-2025-30430 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
https://support.apple.com/en-us/122378
Apple iPadOS, visionOS, MacOS, iOS CVE-2025-30433 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122378
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122372
https://support.apple.com/en-us/122375
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple MacOS CVE-2025-30444 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-30452 9.8 Non spécifié 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-30457 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple MacOS CVE-2025-30458 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
Apple MacOS CVE-2025-30461 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
Apple MacOS CVE-2025-30462 9.8 Exécution de code arbitraire à distance 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple iPadOS, MacOS CVE-2025-30465 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122372
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Apple iOS, iPadOS, MacOS, tvOS, visionOS CVE-2025-31182 9.8 Atteinte à l'intégrité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122378
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122377
https://support.apple.com/en-us/122375
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
Apple iPadOS, MacOS, tvOS, iOS CVE-2025-31183 9.8 Atteinte à la confidentialité des données 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122377
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122371
https://support.apple.com/en-us/122374
Apple MacOS CVE-2025-31194 9.8 Contournement de la politique de sécurité 31/03/2025 Pas d'information CERTFR-2025-AVI-0258
https://support.apple.com/en-us/122373
https://support.apple.com/en-us/122374
https://support.apple.com/en-us/122375
Moxa EDR-G9004, OnCell G4302-LTE4, EDR-810, TN-4900, EDR-8010 Series, EDR-G9010 Series, EDF-G1002-BP CVE-2025-0415 9.2 Exécution de code arbitraire à distance 02/04/2025 Pas d'information CERTFR-2025-AVI-0269
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-259491-cve-2025-0415-command-injection-leading-to-denial-of-service-(dos)
Ivanti Zero Trust Access gateways, Pulse Connect Secure, Policy Secure (IPS), Connect Secure (ICS) CVE-2025-22457 9 Exécution de code arbitraire à distance 03/04/2025 Exploitée CERTFR-2025-AVI-0273
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457

Rappel des alertes CERT-FR

CVE-2025-0282 : [MàJ] Vulnérabilité dans les produits Ivanti

Le 01 Avril 2025, la CISA fournit des indicateurs de compromission ainsi qu'une règle de détection YARA, servant à déterminer si un Ivanti Connect Secure est compromis par le maliciel RESURGE.
Note : Ces éléments n'ont pas été qualifiés par le CERT-FR.

À titre de précision, la vulnérabilité CVE-2025-0282 est distincte de la vulnérabilité CVE-2025-22457, qui affecte sensiblement les mêmes produits, et qui a fait l'objet de l'alerte CERTFR-2025-ALE-003.

Liens :

CVE-2025-22457 : Vulnérabilité dans les produits Ivanti

Le 03 avril 2025, Ivanti publie un bulletin de sécurité concernant une vulnérabilité critique de type débordement de pile a été découverte dans Pulse Connect Secure, Ivanti Connect Secure (ICS), Policy Secure (IPS) et Zero Trust Access (ZTA) Gateways. Cette vulnérabilité, d'identifiant CVE-2025-22457, permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

L'éditeur indique que cette vulnérabilité est activement exploitée. Le CERT-FR a connaissance d'une preuve de concept publique permettant de provoquer un arrêt du serveur Web.

Liens :

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Crushftp Crushftp CVE-2024-4040 10 Exécution de code arbitraire à distance, Contournement de la politique de sécurité 19/04/2024 Exploitée https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
Cisco Smart Licensing Utility CVE-2024-20439 9.8 Contournement de la politique de sécurité 04/09/2024 Exploitée https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cslu-7gHMzWmw
Apache Tomcat CVE-2025-24813 9.8 Atteinte à la confidentialité des données, Exécution de code arbitraire à distance 12/03/2025 Exploitée https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.3
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.35
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25536
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.99

Rappel des publications émises

Dans la période du 31 mars 2025 au 06 avril 2025, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 07 avril 2025
    Version initiale