Bulletin d’actualité CERTFR-2025-ACT-013 – CERT-FR
Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner
leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre
d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan
d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 13
Tableau récapitulatif :
CVE-2025-1097, CVE-2025-1098, CVE-2025-1974, CVE-2025-24513 et CVE-2025-24514 : Multiples vulnérabilités dans le contrôleur Ingress NGINX pour Kubernetes
Ces vulnérabilités permettent à un attaquant non authentifié d’exécuter du code arbitraire à distance via l’injection d’une configuration NGINX arbitraire. Elles sont corrigées dans les versions v1.12.1 et v1.11.5 d’ingress-nginx.
Le CERT-FR a connaissance de preuves de concept disponibles sur Internet.
Lien :
Autres vulnérabilités
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
|---|---|---|---|---|---|---|---|
| Reviewdog | action-composite-template, action-setup, action-typos, action-ast-grep, action-staticcheck, action-shellcheck | CVE-2025-30154 | 8.6 | Atteinte à la confidentialité des données | Exploitée | https://github.com/reviewdog/reviewdog/security/advisories/GHSA-qmg3-hpqr-gqvc | |
| Sitecore | cms | CVE-2019-9875 | 8.8 | Exécution de code arbitraire à distance, Injection de requêtes illégitimes par rebond (CSRF) | Exploitée | https://dev.sitecore.net/Downloads.aspx | |
| Sitecore | cms, experience_platform | CVE-2019-9874 | 9.8 | Exécution de code arbitraire à distance, Injection de requêtes illégitimes par rebond (CSRF) | Exploitée | https://dev.sitecore.net/Downloads.aspx | |
| Palo Alto Networks | Cortex XDR Agent | CVE-2024-8690 | 5.6 | Contournement de la politique de sécurité | 11/09/2024 | Code d’exploitation public | https://security.paloaltonetworks.com/CVE-2024-8690 |
| Laravel | framework | CVE-2024-13918 | 8 | Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité | Code d’exploitation public | https://github.com/laravel/framework/releases/tag/v11.36.0 | |
| Laravel | framework | CVE-2024-13919 | 8 | Injection de code indirecte à distance (XSS), Contournement de la politique de sécurité | Code d’exploitation public | https://github.com/laravel/framework/releases/tag/v11.36.0 | |
| Microsoft | Windows | CVE-2025-24071 | 7.5 | Atteinte à la confidentialité des données, Contournement de la politique de sécurité | 11/03/2025 | Exploitée | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071 |
CVE-2025-31161 : Vulnérabilité dans CrushFTP
La vulnérabilité CVE-2025-31161 affecte CrushFTP et permet à un attaquant de contourner l’authentification. Une preuve de concept est disponible publiquement.
Cette vulnérabilité a porté l’identifiant CVE-2025-2825 dans un premier temps.
Lien :
Rappel des publications émises
Dans la période du 24 mars 2025 au 30 mars 2025, le CERT-FR
a
émis les publications suivantes :
Auteur :
Aller à la source
