Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner
leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre
d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan
d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 20
Tableau récapitulatif :
Vulnérabilités critiques du 12/05/25 au 18/05/25 | Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
| SAP | NetWeaver | CVE-2025-31324 | 10 (NVD) | Exécution de code arbitraire à distance | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0396 | https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html |
| Fortinet | FortiMail, FortiVoice, FortiCamera, FortiRecorder, FortiNDR | CVE-2025-32756 | 9.8 (NVD) | Exécution de code arbitraire à distance | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0399 | https://www.fortiguard.com/psirt/FG-IR-25-254 |
| SAP | NetWeaver | CVE-2025-42999 | 9.1 (NVD) | Exécution de code arbitraire à distance | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0396 | https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html |
| Microsoft | Windows | CVE-2025-30400 | 7.8 (NVD) | Élévation de privilèges | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0405 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30400 |
| Microsoft | Windows | CVE-2025-32701 | 7.8 (NVD) | Élévation de privilèges | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0405 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32701 |
| Microsoft | Windows | CVE-2025-32706 | 7.8 (NVD) | Contournement de la politique de sécurité | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0405 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32706 |
| Microsoft | Windows | CVE-2025-32709 | 7.8 (NVD) | Élévation de privilèges | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0405 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32709 |
| Microsoft | Windows | CVE-2025-30397 | 7.5 (NVD) | Contournement de la politique de sécurité, Exécution de code arbitraire à distance | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0405 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30397 |
| Ivanti | Endpoint Manager Mobile (EPMM) | CVE-2025-4428 | 7.2 (NVD) | Exécution de code arbitraire à distance | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0400 | https://www.ivanti.com/blog/epmm-security-update |
| Ivanti | Endpoint Manager Mobile (EPMM) | CVE-2025-4427 | 5.3 (NVD) | Contournement de la politique de sécurité | 13/05/2025 | Exploitée | CERTFR-2025-AVI-0400 | https://www.ivanti.com/blog/epmm-security-update |
| Google | Chrome | CVE-2025-4664 | 4.3 (NVD) | Atteinte à la confidentialité des données, Contournement de la politique de sécurité | 15/05/2025 | Exploitée | CERTFR-2025-AVI-0412 | https://chromereleases.googleblog.com/2025/05/stable-channel-update-for-desktop_14.html |
| Microsoft | Edge | CVE-2025-4664 | 4.3 (NVD) | Atteinte à la confidentialité des données, Contournement de la politique de sécurité | 15/05/2025 | Exploitée | CERTFR-2025-AVI-0418 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-4664 |
| Siemens | SIMATIC IPC RS-828A | CVE-2024-54085 | 10 (NVD) | Contournement de la politique de sécurité | 13/05/2025 | Pas d’information | CERTFR-2025-AVI-0397 | https://cert-portal.siemens.com/productcert/html/ssa-446307.html |
| Juniper Networks | Secure Analytics | CVE-2019-12900 | 9.8 (NVD) | Non spécifié | 14/05/2025 | Pas d’information | CERTFR-2025-AVI-0401 | https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03 |
| Juniper Networks | Secure Analytics | CVE-2018-12699 | 9.8 (NVD) | Déni de service à distance, Non spécifié | 13/05/2025 | Pas d’information | CERTFR-2025-AVI-0401 | https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03 |
| Juniper Networks | Secure Analytics | CVE-2023-37920 | 9.8 (NVD) | Contournement de la politique de sécurité | 13/05/2025 | Pas d’information | CERTFR-2025-AVI-0401 | https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03 |
| Ivanti | Neurons | CVE-2025-22462 | 9.8 (NVD) | Contournement de la politique de sécurité | 13/05/2025 | Pas d’information | CERTFR-2025-AVI-0403 | https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-on-premises-only-CVE-2025-22462 |
| Microsoft | Azure | CVE-2025-30387 | 9.8 (NVD) | Élévation de privilèges | 13/05/2025 | Pas d’information | CERTFR-2025-AVI-0407 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30387 |
| Juniper Networks | Secure Analytics | CVE-2024-29736 | 9.1 (NVD) | Falsification de requêtes côté serveur (SSRF) | 13/05/2025 | Pas d’information | CERTFR-2025-AVI-0401 | https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP11-IF03 |
| Siemens | CPC80 Central Processing/Communication, CPCI85 Central Processing/Communication, POWER METER SICAM Q100 family, POWER METER SICAM Q200 family | CVE-2024-3596 | 9 (NVD) | Contournement de la politique de sécurité | 13/05/2025 | Pas d’information | CERTFR-2025-AVI-0397 | https://cert-portal.siemens.com/productcert/html/ssa-794185.html |
| Mitel | téléphones SIP séries 6900, téléphones SIP séries 6800, téléphones SIP séries 6900w, 6970 Conference Unit | CVE-2025-47188 | 9.8 (éditeur) | Exécution de code arbitraire à distance | 06/05/2025 | Pas d’information | CERTFR-2025-AVI-0388 | https://www.mitel.com/support/mitel-product-security-advisory-misa-2025-0004 |
Le 24 avril 2025, SAP a mis à jour son bulletin de sécurité du 8 avril 2024 pour inclure la vulnérabilité CVE-2025-31324 qui permet l’exécution de code arbitraire à distance pour un utilisateur non authentifié. Cette vulnérabilité est provoquée par un contournement de la politique de sécurité qui permet de télécharger des fichiers arbitraires et potentiellement exécutables sur le serveur. Elle impacte le composant Visual Composer development server, non installé par défaut mais fréquemment utilisé.
Cette vulnérabilité est activement exploitée et a fait l’objet d’une alerte CERT-FR.
Le 13 mai 2025, des chercheurs en sécurité ont déclaré que la vulnérabilité CVE-2025-42999, qui permet une exécution de code arbitraire à distance, était exploitée en combinaison avec la vulnérabilité CVE-2025-31324. Le même jour SAP a publié son avis de sécurité mensuel ainsi que de nouveaux correctifs de sécurité, dont l’éditeur recommande l’application.
Le 15 mai 2025, la CISA ajoute la vulnérabilité CVE-2025-42999 à son catalogue de vulnérabilités réputées exploitées.
Liens :
Rappel des alertes CERT-FR
Le 13 mai 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2025-32756. Celle-ci permet à un attaquant non authentifié d’exécuter du code arbitraire à distance.
L’éditeur indique que cette vulnérabilité est activement exploitée. Les exploitations constatées jusqu’ici concernent les produits FortiVoice.
Fortinet fournit également des marqueurs de compromission à rechercher.
Liens :
Le 13 mai 2025, Ivanti a publié deux avis de sécurité concernant les vulnérabilités CVE-2025-4427 et CVE-2025-4428. L’utilisation combinée de ces deux vulnérabilités permet l’exécution de code arbitraire à distance pour un utilisateur non authentifié.
Ivanti indique que ces vulnérabilités sont activement exploitées. Le 15 mai 2025, une preuve de concept a été publiée sur Internet.
Liens :
Autres vulnérabilités
Tableau récapitulatif :
