S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 22 avril 2025
N° CERTFR-2025-ACT-016
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-016

Gestion du document

Référence CERTFR-2025-ACT-016
Titre Bulletin d'actualité CERTFR-2025-ACT-016
Date de la première version22 avril 2025
Date de la dernière version22 avril 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 16

Tableau récapitulatif :

Vulnérabilités critiques du 14/04/25 au 20/04/25
Editeur Produit Identifiant CVE CVSS (source) Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Apple iPadOS, macOS et iOS CVE-2025-31200 7.5 (NVD) Exécution de code arbitraire à distance 16/04/2025 Exploitée CERTFR-2025-AVI-0325
https://support.apple.com/en-us/122282
https://support.apple.com/en-us/122400
Apple iPadOS, macOS et iOS CVE-2025-31201 6.8 (NVD) Contournement de la politique de sécurité 16/04/2025 Exploitée CERTFR-2025-AVI-0325
https://support.apple.com/en-us/122282
https://support.apple.com/en-us/122400
IBM QRadar Suite Software CVE-2024-21534 9.8 (NVD) Exécution de code arbitraire à distance 17/04/2025 Pas d'information CERTFR-2025-AVI-0337
https://www.ibm.com/support/pages/node/7231169
Tenable Security Center CVE-2025-0665 9.8 (NVD) Atteinte à l'intégrité des données, Atteinte à la confidentialité des données, Exécution de code arbitraire à distance 17/04/2025 Pas d'information CERTFR-2025-AVI-0328
https://www.tenable.com/security/tns-2025-04
IBM QRadar Suite Software CVE-2023-45133 9.3 (NVD) Exécution de code arbitraire 17/04/2025 Pas d'information CERTFR-2025-AVI-0337
https://www.ibm.com/support/pages/node/7231169
IBM QRadar Suite Software CVE-2025-21613 9.2 (NVD) Exécution de code arbitraire à distance 17/04/2025 Pas d'information CERTFR-2025-AVI-0337
https://www.ibm.com/support/pages/node/7231169
Oracle MySQL CVE-2024-40896 9.1 (NVD) Atteinte à l'intégrité des données, Atteinte à la confidentialité des données, Déni de service à distance 18/04/2025 Pas d'information CERTFR-2025-AVI-0320
https://www.oracle.com/security-alerts/cpuapr2025.html
Tenable Nessus CVE-2024-40896 9.1 (NVD) Atteinte à l'intégrité des données, Atteinte à la confidentialité des données, Déni de service à distance 18/04/2025 Pas d'information CERTFR-2025-AVI-0329
https://www.tenable.com/security/tns-2025-05
IBM QRadar Suite Software CVE-2024-42461 9.1 (NVD) Non spécifié par l'éditeur 17/04/2025 Pas d'information CERTFR-2025-AVI-0337
https://www.ibm.com/support/pages/node/7231169
IBM QRadar Suite Software CVE-2024-45337 9.1 (NVD) Contournement de la politique de sécurité 17/04/2025 Pas d'information CERTFR-2025-AVI-0337
https://www.ibm.com/support/pages/node/7231169

Autres vulnérabilités

Tableau récapitulatif :

Editeur Produit Identifiant CVE CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis éditeur
Moodle Moodle CVE-2025-26529 8.3 Injection de code indirecte à distance (XSS) 18/02/2025 Code d'exploitation public https://moodle.org/mod/forum/discuss.php?d=466145
Sonicwall Sma 200, Sma 210, Sma 400, Sma 410 et Sma 500V CVE-2021-20035 6.5 Exécution de code arbitraire à distance 23/09/2021 Exploitée https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0022
Microsoft Windows CVE-2025-24054 6.5 Contournement de la politique de sécurité 11/03/2025 Exploitée https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24054
Erlang OTP CVE-2025-32433 10.0 Exécution de code arbitraire à distance 16/04/2025 Preuve de concept publique https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2

Rappel des publications émises

Dans la période du 14 avril 2025 au 20 avril 2025, le CERT-FR a émis les publications suivantes :


Dans la période du 14 avril 2025 au 20 avril 2025, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 22 avril 2025
    Version initiale