Vulnérabilités et Alertes

Synthèse des Vulnérabilités CISA – Semaine du 21 Juillet 2025

by  • 

Résumé : J’ai analysé le Vulnerability Summary for the Week of July 21, 2025 publié par la CISA. Ce bulletin recense 176 nouvelles vulnérabilités découvertes cette semaine-là.

Dans cet article, je présente toutes ces failles de manière factuelle et structurée, classées par produit ou éditeur affecté. Pour chaque produit, vous trouverez l’identifiant CVE de la vulnérabilité, son score de sévérité CVSS, le type de vulnérabilité (injection SQL, débordement de mémoire tampon, élévation de privilèges, etc.), ainsi que les informations factuelles essentielles issues du rapport CISA.

Je m’appuie exclusivement sur les données du rapport CISA et n’intègre aucune information extérieure. Ce contenu est purement informatif et analytique, sans spéculation ni recommandation. Les sources d’origine (CISA) sont citées après chaque vulnérabilité.

Adobe

  • Adobe Experience Manager (AEM) – Trois vulnérabilités de type Cross-Site Scripting (XSS) stocké ont été identifiées dans AEM versions 6.5.22 et antérieures (CVE-2025-46993, CVE-2025-46996, CVE-2025-47061, CVSS 5.4 chacune). Un attaquant peu privilégié peut injecter des scripts malveillants dans des champs de formulaires, entraînant l’exécution de code JavaScript dans le navigateur des utilisateurs victimes.

Amazon Web Services (AWS)

  • AWS Client VPN (Windows)Exécution de code arbitraire local possible lors de l’installation du client VPN AWS sur Windows (CVE-2025-8069, CVSS 7.8). Le programme d’installation référence un chemin non sécurisé (C:\usr\local\…openssl\ssl) pour le fichier de configuration OpenSSL. Un attaquant local non administrateur pourrait placer du code malveillant dans ce fichier de configuration, exécuté ensuite avec les privilèges SYSTEM si un administrateur procède à l’installation du client VPN.

Arm / Artica / Apwide

  • Arm Development StudioVulnérabilité de chargement de DLL non sécurisé dans les versions antérieures à 2025. Permet à un attaquant local d’effectuer une attaque de type DLL hijacking, conduisant à l’exécution de code arbitraire avec les privilèges de l’utilisateur lançant l’application (CVE-2025-7427).
  • Artica ST – Pandora FMSInjection SQL et upload arbitraire de fichier. Dans Pandora FMS ≤5.0 SP2, l’endpoint mobile/index.php ne filtre pas le paramètre loginhash_data, permettant à un attaquant non authentifié d’extraire les identifiants administrateur via injection SQL. De plus, un attaquant authentifié peut téléverser une webshell via la fonctionnalité d’upload de fichiers du File Manager (CVE-2014-125115).
  • Apwide Golive (plugin Jira)Server-Side Request Forgery (SSRF) via la fonction de test de webhook. Le plugin jusqu’en version 10.2.0 permet d’effectuer des requêtes vers des adresses arbitraires via l’appel de test, pouvant exposer le serveur à des accès non autorisés (CVE-2025-45939).

Atlassian (Sourcetree)

  • Atlassian Sourcetree pour MacExécution de code arbitraire locale. Une vulnérabilité introduite en version 4.2.8 permet à un attaquant local authentifié d’exécuter du code arbitraire via une attaque nécessitant l’interaction de l’utilisateur (CVE-2025-22165). Cette faille (score CVSS 5.9) peut compromettre la confidentialité, l’intégrité et la disponibilité du système.

Bayraktar Solar Energies

  • ScadaWatt OtopilotInjection SQL. Les produits ScadaWatt Otopilot (versions antérieures au 27/05/2025) présentent une vulnérabilité d’injection SQL dans les paramètres de requêtes, permettant à un attaquant d’exécuter des commandes SQL arbitraires sur la base de données (CVE-2025-4822, CVSS 9.8).

Bloomberg (SGBD Comdb2)

  • Bloomberg Comdb2 – Plusieurs vulnérabilités de déni de service ont été découvertes dans la base de données Comdb2 v8.1 :

Canonical

  • MAAS (Metal as a Service)Contournement d’authentification RPC. En raison de validations insuffisantes dans MAAS, un client malveillant peut contourner les contrôles d’authentification et exécuter des commandes RPC sur les serveurs Region MAAS (CVE-2024-6107, CVSS 9.6).

Cisco

(Aucune nouvelle vulnérabilité Cisco n’est mentionnée dans le bulletin CISA de cette semaine.)

Comodo

  • Comodo Dragon (navigateur) – Plusieurs vulnérabilités « problématiques » ont été trouvées dans Comodo Dragon version ≤134.0.6998.179 :

CommScope (Ruckus Unleashed/ZoneDirector)

  • Ruckus Unleashed & ZoneDirector – Plusieurs failles critiques non encore cotées CVSS :

Commvault

  • Commvault (infrastructure de sauvegarde) – Plusieurs vulnérabilités ont été corrigées dans la suite Commvault :

D-Link

  • Routeurs D-Link (gamme DIR) – Plusieurs failles critiques dans des modèles plus supportés :

Dell

  • Dell AppSync – Deux vulnérabilités ont été corrigées dans AppSync 4.6.0.0 :
  • Dell PowerScale OneFSAlgorithme cryptographique vulnérable (CVE-2025-30477, CVSS 4.4). Les versions de OneFS <9.11.0.0 utilisent un algorithme cryptographique obsolète ou faible, qu’un attaquant à haut privilège et accès réseau pourrait exploiter pour divulguer des informations sensibles.

Extreme Networks

  • ExtremeControl (NAC)Cross-Site Scripting (XSS) stocké. Sur ExtremeControl <25.5.12, une interface de login est vulnérable à l’injection de script dans un attribut HTML mal filtré. Un attaquant pourrait exploiter cette faille pour exécuter du code JavaScript dans le contexte du navigateur d’un utilisateur légitime lors de la connexion (CVE-2025-6235, non encore scoré).

Freescout (Helpdesk open-source)

  • FreeScoutDésérialisation non sécurisée (RCE). Dans FreeScout ≤1.8.185, l’endpoint /conversation/ajax traite des paramètres attachments_all mal chiffrés via une fonction Helper::decrypt() non sécurisée, permettant à un utilisateur authentifié connaissant la clé APP_KEY de désérialiser des objets PHP arbitraires. Ceci aboutit à une exécution de code à distance sur le serveur (CVE-2025-54366).

GitLab

  • GitLab CE/EE – Plusieurs correctifs de sécurité :

Google (Chrome)

  • Google Chrome (V8) – Deux failles de type confusion de type ont été corrigées dans le moteur JavaScript V8 de Chrome <138.0.7204.168. Ces bugs permettent potentiellement à un attaquant distant via une page HTML malveillante de corrompre le tas mémoire (heap) et éventuellement exécuter du code arbitraire dans le contexte du navigateur (CVE-2025-8010, CVE-2025-8011, sévérité haute).

HCL Software

  • HCL BigFix (IEM) – Plusieurs problèmes de sécurité basse sévérité dans HCL IEM :
  • HCL iAutomate – Failles corrigées :

Imprivata

  • Imprivata OneSign (Enterprise Access Management)Contournement de l’écran de login sur postes kiosques. Dans OneSign 5.3 à 24.2, un usage inadéquat des raccourcis clavier permet de quitter l’écran de login partagé et d’accéder au système Windows sous-jacent via le compte autologon, sans authentification (CVE-2024-12310).

INVT (Automates industriels)

  • INVT HMI Tool – Quatre vulnérabilités critiques dans le logiciel de programmation d’écrans tactiles INVT :

IrfanView (Plugin CADImage)

  • Plugin CADImage pour IrfanView – Cette visionneuse d’images est affectée par plus de 15 failles critiques liées au traitement de fichiers CAO (DWG, DXF, CGM) :

Lantronix

  • Lantronix Provisioning ManagerInjection XXE (External Entity). Le logiciel Provisioning Manager est vulnérable à une attaque XXE lors de l’import de fichiers de configuration d’équipements réseau, ce qui permet à un attaquant non authentifié d’exécuter du code à distance sur le serveur de Provisioning Manager (CVE-2025-7766, CVSS 8.0).

LibreNMS

  • LibreNMSInclusion de fichier à distance. Jusqu’en version 25.6.0, l’endpoint ajax_form.php accepte un paramètre type non filtré permettant de spécifier un fichier .inc.php à inclure depuis le répertoire des formulaires. En l’absence de validation, un attaquant authentifié pourrait exploiter ce mécanisme pour inclure un fichier malveillant qu’il a pu positionner sur le serveur (via symlink ou autre faille), entraînant une exécution de code arbitraire (CVE-2025-54138, CVSS 7.5).

Linux (noyau et utilitaires)

  • Linux PAM (pam-config)Élévation de privilèges locales. Un bug dans le module pam-config permet à un attaquant local non privilégié (ex : un utilisateur SSH) d’obtenir les droits réservés aux utilisateurs console (flag allow_active), contournant les restrictions de polkit. L’attaquant peut alors exécuter des actions normalement réservées à root via polkit, compromettant potentiellement la configuration système (CVE-2025-6018, CVSS 7.8).
  • iputils (ping)Denial of Service. Dans iputils <20250602, une réponse ICMP Echo malformée avec un timestamp nul provoque des calculs intermédiaires énormes lors du calcul de statistiques, menant à un overflow entier. Ce bug (incomplètement corrigé suite à CVE-2025-47268) peut faire planter l’application ping en mode adaptatif ou fausser la collecte de données (CVE-2025-48964, CVSS 6.5).
  • Bun (moteur JavaScript)Injection de commandes OS. Le package npm bun >0.0.12 (runtime JavaScript) permet l’exécution de commandes via l’API $ shell en insérant des caractères spéciaux (|, &&, etc.) dans les entrées traitées. Le code n’assainit pas correctement ces caractères, menant à l’exécution involontaire de commandes shell (CVE-2025-8022, CVSS 8.8).
  • private-ip (bibliothèque npm)Server-Side Request Forgery. Toutes les versions du package private-ip sont vulnérables à une SSRF : un attaquant peut fournir une adresse IP multicast (224.0.0.0/4) qui n’est pas reconnue comme locale par la liste interne, permettant d’éventuelles requêtes vers l’extérieur ou des réseaux internes non prévus (CVE-2025-8020, CVSS 8.2).
  • GNU Binutils – Deux vulnérabilités dans Binutils 2.44 :
  • dalek cryptography (Rust)Faiblesse cryptographique. La librairie Rust curve25519-dalek (<4.1.3) exécute une opération sur des scalaires de courbe elliptique en temps constant, mais celle-ci est supprimée par l’optimisation LLVM. Cette suppression brise l’aspect constant-time et pourrait faciliter des attaques par canal auxiliaire (CVE-2024-58262, CVSS 2.9).

Medtronic (MyCareLink Moniteur patient)

  • Medtronic MyCareLink 24950/24952 – Trois vulnérabilités locales :

Microsoft

(Aucune vulnérabilité Microsoft spécifique n’apparaît dans le rapport de cette semaine.)

Network Thermostat

  • Thermostats X-Series (IoT)Contournement d’authentification & reset mot de passe. Certains thermostats WiFi X-Series exposent l’interface web embarquée sans authentification adéquate. Un attaquant sur le même réseau (ou via Internet si la redirection de port est activée) peut accéder à l’interface et réinitialiser les identifiants administrateurs en modifiant des paramètres spécifiques de la page, sans aucune authentification (CVE-2025-6260, CVSS 9.8).

NI (National Instruments)

  • NI LabVIEW 2025 Q1 – Deux vulnérabilités Out-of-Bounds Read dans LabVIEW :

OpenAI

  • OpenAI Codex CLIExécution non autorisée de commandes. Dans Codex CLI <0.9.0, l’outil approuve automatiquement l’exécution de la commande rg (ripgrep) même avec les options –pre, –hostname-bin, –search-zip ou -z. Un attaquant pourrait abuser de ce comportement pour exécuter des commandes arbitraires via rg sans confirmation appropriée (CVE-2025-54558).

Open-Source (Divers)

  • Open Source MANO (ETSI OSM) – Deux failles d’élévation de privilèges : (1) OSM v14.x/15.x permet à un attaquant distant non admin d’ajouter un utilisateur admin via l’API /osm/admin/v1/users (CVE-2024-48729) ; (2) Absence de limitation du nombre de tentatives de login admin, facilitant le brute-force (CVE-2024-48730). Pas de score CVSS attribué.
  • ETQ Reliance (plateforme legacy) – Multiples vulnérabilités : contournement d’auth (login possible en tant que compte système interne sans mot de passe, CVE-2025-34143), injection XSS réfléchie (CVE-2025-34141), injection SQL via endpoint d’API (CVE-2025-34140), injection XXE via SAML (CVE-2025-34142), etc., toutes corrigées dans les versions récentes (SE.2025.1). Ces failles permettent bypass d’authentification, exécution de scripts non autorisés et lecture de fichiers locaux sensibles par entités XML externes.
  • Astronomer dag-factory (GitHub Action)Exécution de code dans GitHub Actions. Un workflow CI/CD vulnérable (versions ≤0.23.0a8) autorise l’exécution de code arbitraire lors de l’ouverture d’une pull request malveillante. L’attaquant peut obtenir un shell inversé sur le runner GitHub, exfiltrer le jeton GITHUB_TOKEN et prendre le contrôle du dépôt (CVE-2025-54415).
  • CapillaryScopeStockage de données sensibles en clair. L’application CapillaryScope v2.5.0 stocke en clair dans le registre Windows des informations d’authentification (identifiants proxy, token JWT). Un utilisateur local authentifié peut lire ces clés de registre et obtenir ces données sensibles (CVE-2025-40680).
  • Chavara Matrimony (web)Contournement d’authentification OTP. Le site Chavara Matrimony v2.0 permet à un attaquant de bypass la vérification OTP (One-Time Password) lors de l’authentification en modifiant les requêtes HTTP, ce qui lui donne accès au compte ciblé sans le vrai code OTP (CVE-2025-45777).
  • Dicoogle PACSPath traversal non authentifié. Dicoogle PACS Web Server 2.5.0 permet à un attaquant de télécharger des fichiers arbitraires du serveur via l’endpoint /exportFile?UID=… En manipulant le paramètre UID, un attaquant non authentifié peut lire tout fichier accessible par le service (CVE-2018-25113).
  • dj-extensions (Joomla)Injection SQL dans le composant DJ-Flyer (v1.0–3.2) permettant à un utilisateur Joomla privilégié d’exécuter des requêtes SQL arbitraires (CVE-2025-50127), et XSS réfléchi dans DJ-Reviews (v1.0–1.3.6) permettant à un attaquant de faire exécuter du JavaScript via une URL piégée (CVE-2025-54295).
  • Drupal modules – Plusieurs modules Drupal présent(ai)ent des failles (aucun score CVSS défini) :
  • Eveo URVE Web Manager – Deux failles combinables : (1) SSRF via l’endpoint interne /redirect.php qui reflète toute URL demandée (CVE-2025-36845), et (2) Injection de commandes OS via l’endpoint local /pc/vpro.php accessible sans auth et passant un paramètre directement à shell_exec() (CVE-2025-36846). Un attaquant non authentifié peut chaîner ces vulnérabilités pour exécuter des commandes système (par ex. en accédant à l’endpoint interne via la SSRF).
  • FrontEnd File Manager (WordPress)Suppression arbitraire de fichiers. Le plugin Frontend File Manager ≤21.5 ne vérifie pas les autorisations dans la fonction wpfm_delete_multiple_files(), permettant à un attaquant non authentifié de déclencher la suppression de n’importe quel post via une requête forgée (CVE-2023-7306, CVSS 7.5).
  • GeoDirectory (WordPress)Injection SQL temporelle. Le plugin GeoDirectory – WP Business Directory ≤2.8.97 ne nettoie pas correctement le paramètre dist dans certaines requêtes, permettant à un attaquant non authentifié d’ajouter des conditions SQL malveillantes (time-based) et d’extraire des données sensibles de la base (CVE-2024-13507, CVSS 7.5).
  • GS Orion Login via SMS (WordPress)Bypass d’authentification. Le plugin Orion Login w/ SMS ≤1.0.5 utilise un OTP prévisible et sans limite d’essais. Un attaquant peut facilement deviner le code de vérification ou exploiter le hash OTP exposé pour se connecter en tant qu’autre utilisateur (CVE-2025-7692, CVSS 8.1).
  • Like & Share My Site (WordPress)CSRF stocké. Le plugin Like & Share My Site ≤0.2 ne valide pas le nonce sur sa page d’administration, permettant à un attaquant de forcer un admin à exécuter des actions (via un lien piégé) modifiant les réglages et insérant un script malveillant (XSS) exécuté plus tard sur le site (CVE-2025-7685, CVSS 6.1).
  • Orion (WP)Élévation de privilège. Le plugin WP-Members Membership ≤3.5.4.1 permet à un utilisateur avec rôle minimal (Contributor) d’injecter un script XSS stocké via un shortcode mal protégé (wpmem_login_link), qui s’exécutera auprès des visiteurs ou admins consultant la page (CVE-2025-7495, CVSS 6.4).
  • (De nombreuses autres vulnérabilités relatives à des plugins WordPress ont été relevées dans le bulletin CISA, couvrant des vecteurs tels que XSS stocké, CSRF, upload de fichiers arbitraires et escalades de privilèges. Chaque cas est documenté dans le rapport original avec son identifiant CVE et son score CVSS.)

PowerDNS

  • PowerDNS RecursorEmpoisonnement DNS ECS. Le Recursor (serveur DNS) est vulnérable aux attaques par spoofing de réponses DNS quand l’option ECS (EDNS Client Subnet) est activée. Un attaquant peut plus facilement injecter de fausses réponses en usurpant l’adresse d’un serveur faisant autorité, car les requêtes ECS (ID de stream 0 en HTTP/2) affaiblissent l’entropie de la requête. Des mesures de durcissement (paramètre edns_subnet_harden) ont été introduites en version 7.0.11/8.0.0 pour contrer ce risque (CVE-2025-30192, CVSS 7.5).

Red Hat

  • Red Hat Enterprise Linux 10 – Deux vulnérabilités dans des bibliothèques tierces :

Samsung Electronics

  • Samsung MagicINFO 9 Server – Un ensemble de 11 vulnérabilités critiques a été découvert sur MagicINFO 9 (serveur de gestion d’affichage) versions <21.1080.0 :

Sophos

  • Sophos Firewall – Plusieurs vulnérabilités critiques affectant Sophos UTM :

Synology

  • Synology Router Manager (SRM) – Deux vulnérabilités XSS (Cross-Site Scripting) affectent SRM <1.3.1-9346-11 :

Tenda

  • Routeurs Tenda (séries AC) – De nombreuses vulnérabilités critiques :

Turpak / Turtek

  • Turpak Automatic Station MonitoringBypass d’authentification par clé manipulée. Dans le système de monitoring Turpak (<5.0.6.51), un attaquant peut exploiter une clé de paramètre contrôlée par l’utilisateur pour escalader ses privilèges. En modifiant ce paramètre dans des requêtes API, un utilisateur normal peut obtenir les privilèges administrateur (CVE-2025-4040, CVSS 7.1).
  • Turtek EyotekContournement d’authentification et élévation de privilège. Le logiciel Eyotek (<23.06.2025) présente une vulnérabilité de clé de session manipulable permettant de se faire passer pour un autre utilisateur (CVE-2025-5681, CVSS 6.5). Par ailleurs, une seconde faille signale l’utilisation d’identifiants codés en dur dans Eyotek (<11.03.2025), ce qui peut compromettre des secrets de confiance (CVE-2025-1469, CVSS 7.5).

Two App Studio (Journey)

  • Journey (iOS)Stockage non chiffré de données sensibles. L’application de journal Journey v5.5.9 stocke en clair dans la base locale des données sensibles (ex. jetons). Un attaquant local authentifié avec accès aux fichiers de l’app pourrait extraire ces informations non chiffrées et compromettre la vie privée de l’utilisateur (CVE-2025-41458, CVSS 5.5).
  • (Une autre vulnérabilité Journey de bruteforce local est corrigée : limitation insuffisante des tentatives d’auth locale, mais cette faille ne figure pas explicitement dans le CVE listé.)

VMware

  • Bitnami Helm Charts (VMware/Appsmith)Divulgation de secrets (SSRF local). Trois chart Helm Bitnami montent par défaut des Secrets Kubernetes dans un chemin accessible via le serveur web (sous /opt/bitnami/*/secrets). Cela permet à un utilisateur non authentifié de lire des secrets sensibles (mots de passe, clés) en naviguant vers l’URL correspondante sur l’application. Des administrateurs malintentionnés pourraient donc divulguer le contenu des secrets (CVE-2025-41240, CVSS 10).

WordPress & Plugins (sélection)

(De très nombreux plugins WordPress sont listés dans le rapport CISA, chacun avec un CVE distinct. Voici quelques exemples marquants 🙂

  • FoxyPressUpload de fichier arbitraire. Le plugin FoxyPress ≤0.4.2.1 possède un script d’installation (uploadify.php) accessible publiquement qui n’effectue aucune validation de type de fichier. Un attaquant non authentifié peut ainsi téléverser un fichier .pht contenant du code PHP, ce qui sera exécuté par le serveur web et lui donnera un accès remote (CVE-2012-10020, CVSS 9.8).
  • WP Database BackupInjection de commande OS. Le plugin WP Database Backup (Backup for WP) <5.2 exécute la commande mysqldump sans nettoyer les entrées. Un attaquant non authentifié peut injecter des caractères spéciaux dans les paramètres et exécuter des commandes système avec les droits du serveur web (CVE-2019-25224, CVSS 9.8).
  • User Registration (WPEverest)XSS stocké. Le plugin User Registration ≤4.2.4 permet à un utilisateur avec rôle faible d’injecter du code JavaScript via le shortcode [urcr_restrict] mal échappé, conduisant à l’exécution de script lorsque d’autres utilisateurs consultent la page (CVE-2025-6831, CVSS 6.4).
  • WPBakery Page BuilderXSS stocké multiple. Le célèbre builder WPBakery ≤8.4.1 présente de multiples vecteurs XSS dans divers éléments (Copyright, Hover Box, FAQ, etc.). Un utilisateur contributeur peut, via l’éditeur, injecter du code script qui s’exécutera pour les visiteurs visualisant la page (CVE-2025-4968, CVSS 6.4).
  • Autres exemples : Pixel Gallery (bdthemes) – XSS stocké via URL dans les widgets (CVE-2025-7644, CVSS 6.4); WP Bookit – Upload de fichier arbitraire via paramètre image non filtré (CVE-2025-7852, CVSS 9.8); AI Engine – Lecture de fichiers sensibles via un endpoint non restreint (CVE-2025-7780, CVSS 6.5); etc. (Voir le rapport CISA pour la liste exhaustive des vulnérabilités WordPress signalées.)

Enjoy !

Source : CISA – Vulnerability Summary for the Week of July 21, 2025 (Bulletin SB25-209, publié le 28 juillet 2025).