Bulletin d'actualité CERTFR-2025-ACT-018

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 17

Tableau récapitulatif :

Vulnérabilités critiques du 21/04/25 au 27/04/25

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Spring	Spring Security	CVE-2025-22234	5.3 (Spring)	Contournement de la politique de sécurité	22/04/2025	Code d’exploitation public	CERTFR-2025-AVI-0343	https://spring.io/security/cve-2025-22234
Moodle	Moodle	CVE-2024-40446	9.8 (NVD)	Exécution de code arbitraire à distance	20/04/2025	Pas d'information	CERTFR-2025-AVI-0340	https://moodle.org/mod/forum/discuss.php?d=467592
Traefik	Traefik	CVE-2025-22871	9.1 (NVD)	Non spécifié par l'éditeur	18/04/2025	Pas d'information	CERTFR-2025-AVI-0341	https://github.com/traefik/traefik/security/advisories/GHSA-5423-jcjm-2gpv
SAP	NetWeaver (Visual Composer development server)	CVE-2025-31324	10 (NVD)	Contournement de la politique de sécurité Atteinte à l'intégrité des données	24/04/2025	Exploitée	CERTFR-2025-AVI-0350	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2025.html

CVE-2025-31324: Vulnérabilité dans SAP NetWeaver (Visual Composer development server)

Le 8 avril 2025, SAP a publié un bulletin de sécurité mensuel présentant plusieurs vulnérabilités.

Le 22 avril 2025, un correctif est disponible pour NetWeaver corrigeant une vulnérabilité activement exploitée. L'éditeur fait mention d'une probable exploitation dans une foire aux questions relative à cette vulnérabilité. L'accès à ce lien nécessite un compte utilisateur pour le support SAP.

Des indices de compromission sont disponibles dans la foire aux questions sur la vulnérabilité CVE-2025-31324.

Le bulletin du 8 avril 2025 est finalement mis à jour pour indiquer cette nouvelle vulnérabilité sans faire mention de son exploitation active.

Liens :

Autres vulnérabilités

Editeur	Produit	Identifiant CVE	CVSS (source)	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
CraftCMS	CMS	CVE-2025-32432	10 (NVD)	Exécution de code arbitraire à distance	24/04/2025	Exploitée	https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3
xwiki	xwiki	CVE-2025-32969	9.3 (Github)	Injection SQL (SQLi)	23/04/2025	Code d’exploitation public	https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-f69v-xrj8-rhxf
Citrix	NetScaler Console	CVE-2024-6235	9.4 (Citrix)	Atteinte à la confidentialité des données	09/07/2024	Code d’exploitation public	https://support.citrix.com/s/article/CTX677998-netscaler-console-agent-and-sdx-svm-security-bulletin-for-cve20246235-and-cve20246236?language=en_US

CVE-2025-32432: Vulnérabilité dans CraftCMS

Le 24 avril 2025, CraftCMS a publié un bulletin de sécurité concernant la vulnérabilité CVE-2025-32432 affectant sont produit. Elle permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. Une preuve de concept est disponible pour cette vulnérabilité et elle est activement exploitée.

La présence des éléments suivants peuvent indiquer une compromission :

Journaux d'accès :
- Présence de nombreuses requêtes POST sur le point de terminaison "generate-transform"
- Présence de requêtes GET ciblant les pages d'administration avec un code HTTP 302 et un code PHP injecté.
Journaux applicatifs :
- Présence d'un champ commençant par la valeur "as" dans le corps des requêtes POST ciblant l'endpoint "generate-transform"
- Présence de l'erreur "Image transform cannot be created".
Nouveaux fichiers à la racine du serveur :
- filemanager.php
- autoload_classmap.php
- wp-22.php
- style.php

Liens :

Rappel des publications émises

Dans la période du 21 avril 2025 au 27 avril 2025, le CERT-FR a émis les publications suivantes :

CERTFR-2025-AVI-0338 : Vulnérabilité dans Tenable Security Center
CERTFR-2025-AVI-0339 : Vulnérabilité dans PostgreSQL PgBouncer
CERTFR-2025-AVI-0340 : Multiples vulnérabilités dans Moodle
CERTFR-2025-AVI-0341 : Multiples vulnérabilités dans Traefik
CERTFR-2025-AVI-0342 : Multiples vulnérabilités dans Google Chrome
CERTFR-2025-AVI-0343 : Vulnérabilité dans Spring Security
CERTFR-2025-AVI-0344 : Multiples vulnérabilités dans Grafana
CERTFR-2025-AVI-0345 : Vulnérabilité dans Sonicwall SonicOS
CERTFR-2025-AVI-0346 : Multiples vulnérabilités dans GitLab
CERTFR-2025-AVI-0347 : Vulnérabilité dans Sophos Taegis Endpoint Agent
CERTFR-2025-AVI-0348 : Vulnérabilité dans Spring Boot
CERTFR-2025-AVI-0349 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2025-AVI-0350 : Vulnérabilité dans SAP NetWeaver

Dans la période du 21 avril 2025 au 27 avril 2025, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2025-AVI-0285 : Multiples vulnérabilités dans les produits SAP

Référence	CERTFR-2025-ACT-018
Titre	Bulletin d'actualité CERTFR-2025-ACT-018
Date de la première version	28 avril 2025
Date de la dernière version	28 avril 2025
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2025-ACT-018

Gestion du document

Vulnérabilités significatives de la semaine 17

Tableau récapitulatif :

CVE-2025-31324: Vulnérabilité dans SAP NetWeaver (Visual Composer development server)

Liens :

Autres vulnérabilités

CVE-2025-32432: Vulnérabilité dans CraftCMS

Liens :

Rappel des publications émises

Gestion détaillée du document