Une gestion de version détaillée se trouve à la fin de ce document.
Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 50
Tableau récapitulatif :
Vulnérabilités critiques du 08/12/25 au 14/12/25
| Editeur | Produit | Identifiant CVE | CVSS (source) | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
| Microsoft | Windows | CVE-2025-62221 | 7.8 (NVD) | Élévation de privilèges | 09/12/2025 | Exploitée | CERTFR-2025-AVI-1092
| https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62221
|
| Google | Chromium | CVE-2025-14174 | 8.8 (NVD) | Élévation de privilèges | 09/12/2025 | Exploitée | CERTFR-2025-AVI-1096
| https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html |
| Apple | Webkit | CVE-2025-14174 | 8.8 (NVD) | Élévation de privilèges | 12/12/2025 | Exploitée | CERTFR-2025-AVI-1110
| https://support.apple.com/en-us/125889
|
| Microsoft | Edge | CVE-2025-14174 | 8.8 (NVD) | Élévation de privilèges | 09/12/2025 | Exploitée | CERTFR-2025-AVI-1103
| https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-14174 |
| Ivanti | Endpoint Manager (EPM) | CVE-2025-10573 | 9.6 (NVD) | Exécution de code arbitraire à distance | 09/12/2025 | Code d'exploitation public | CERTFR-2025-AVI-1088
| https://forums.ivanti.com/s/article/Security-Advisory-EPM-December-2025-for-EPM-2024
|
| Traefik | Traefik | CVE-2025-66490 | 6.9 (NVD) | Élévation de privilèges, Contournement de la politique de sécurité | 08/12/2025 | Code d'exploitation public | CERTFR-2025-AVI-1077
| https://github.com/traefik/traefik/security/advisories/GHSA-gm3x-23wp-hc2c
|
| SAP | Solution Manager | CVE-2025-42880 | 9.9 (NVD) | Exécution de code arbitraire à distance | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1079
| https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
|
| Mozilla | Firefox ESR, Thunderbird, Firefox | CVE-2025-14321 | 9.8 (NVD) | Non spécifié par l'éditeur | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1087
| https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
|
| Mozilla | Thunderbird, Firefox | CVE-2025-14324 | 9.8 (NVD) | Non spécifié par l'éditeur | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1087
| https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-93/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
|
| Mozilla | Thunderbird, Firefox | CVE-2025-14326 | 9.8 (NVD) | Non spécifié par l'éditeur | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1087
| https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
|
| Mozilla | Thunderbird, Firefox | CVE-2025-14330 | 9.8 (NVD) | Non spécifié par l'éditeur | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1087
| https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
|
| Fortinet | FortiSwitchManager, FortiOS, FortiProxy, FortiWeb | CVE-2025-59718 | 9.8 (NVD) | Contournement de la politique de sécurité | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1084
| https://www.fortiguard.com/psirt/FG-IR-25-647
|
| Fortinet | FortiSwitchManager, FortiOS, FortiProxy, FortiWeb | CVE-2025-59719 | 9.8 (NVD) | Contournement de la politique de sécurité | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1084
| https://www.fortiguard.com/psirt/FG-IR-25-647
|
| SAP | Commerce Cloud | CVE-2025-55754 | 9.6 (NVD) | Contournement de la politique de sécurité | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1079
| https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
|
| SAP | jConnect | CVE-2025-42928 | 9.1 (NVD) | Exécution de code arbitraire à distance | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1079
| https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
|
| Adobe | ColdFusion | CVE-2025-61808 | 9.1 (NVD) | Exécution de code arbitraire à distance | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1085
| https://helpx.adobe.com/security/products/coldfusion/apsb25-105.html
|
| Adobe | ColdFusion | CVE-2025-61809 | 9.1 (NVD) | Contournement de la politique de sécurité | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1085
| https://helpx.adobe.com/security/products/coldfusion/apsb25-105.html
|
| Adobe | Coldfusion | CVE-2025-61811 | 9.1 (NVD) | Exécution de code arbitraire à distance, Contournement de la politique de sécurité | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1085
| https://helpx.adobe.com/security/products/coldfusion/apsb25-105.html
|
| Microsoft | SharePoint Server Subscription Edition | CVE-2025-64672 | 9 (NVD) | Injection de code indirecte à distance (XSS) | 09/12/2025 | Pas d'information | CERTFR-2025-AVI-1094
| https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64672
|
Rappel des alertes CERT-FR
[Mise à jour du 11 December 2025] Le CERT-FR a connaissance de multiples exploitations de la vulnérabilité CVE-2025-55182. Certains billets de blogues, non qualifiés par le CERT-FR, ont été ajoutés dans l'alerte, ainsi que des fiches réflexes de compromission système pour leur qualification et endiguement.
Liens :
Autres vulnérabilités
Tableau récapitulatif :
Dans la période du 08 décembre 2025 au 14 décembre 2025, le CERT-FR a émis les publications suivantes :
Dans la période du 08 décembre 2025 au 14 décembre 2025, le CERT-FR a mis à jour les publications suivantes :
- le 15 décembre 2025
- Version initiale
Source : Lire l'article original