Vulnérabilités et Alertes

Résumé hebdomadaire des vulnérabilités – Semaine du 14 juillet 2025

by  • 

J’ai passé en revue le bulletin CISA des vulnérabilités nouvellement signalées pour la semaine du 14 juillet 2025. Il s’agit d’une compilation des failles découvertes récemment, essentiellement classées critiques (score CVSS 7.0–10.0).

En tant que responsable de CERT, je vous propose ici une analyse détaillée de ces vulnérabilités. Je les ai regroupées par fournisseur, en mettant en avant chaque faille et son impact potentiel.

L’objectif fort est de fournir aux équipes CERT/CSIRT/SOC/CISO un aperçu clair des risques critiques identifiés cette semaine-là, afin de prioriser les mesures de mitigation et les correctifs. Aucune limite de taille ne m’est imposée, ce qui me permet d’aborder chaque point en profondeur.

Je décris ci-dessous, fournisseur par fournisseur, les vulnérabilités critiques (CVSS ≥ 7.0) annoncées cette semaine-là, avec pour chacune le contexte, la nature de la faille, son impact possible, et toute information notable telle que la disponibilité d’un correctif ou l’exploitation active de la faille. NB : Tous les identifiants CVE cités correspondent aux vulnérabilités publiées la semaine du 14/07/2025 d’après la source CISA.

Vulnérabilités critiques par fournisseur

aapanel

  • aapanel WP Toolkit (WordPress) – Une vulnérabilité d’élévation de privilèges a été découverte dans le plugin aapanel WP Toolkit (versions 1.0 à 1.1). En raison de l’absence de vérification d’autorisation dans la fonction auto_login(), un attaquant authentifié même avec de faibles privilèges (simple abonné) peut outrepasser les contrôles de rôle et obtenir des privilèges administrateur complets sur le site WordPress. CVE associé : CVE-2025-6813, score CVSS 8.8. Cette faille permettrait à un assaillant initialement limité de prendre le contrôle total du site.

aaroncampbell

  • Attachment Manager (WordPress) – Le plugin Attachment Manager (jusqu’en v2.1.2) comporte une faille de suppression arbitraire de fichier. Un manque de validation du chemin dans la fonction handle_actions() permet à un attaquant non authentifié de supprimer des fichiers arbitraires sur le serveur. L’impact est critique (CVSS 9.1, CVE-2025-7643), car la suppression de fichiers sensibles comme wp-config.php pourrait conduire à une exécution de code à distance (RCE) en compromettant la configuration du site.

Adrian Tobey

  • Groundhogg (WordPress) – Une vulnérabilité de type “Upload de fichier non restreint” a été signalée dans Groundhogg (jusqu’à la v4.2.1). Elle permet à un attaquant de téléverser une webshell (fichier arbitraire malveillant) sur le serveur. CVE : CVE-2025-48300, CVSS 9.1. En pratique, un attaquant ayant accès au plugin pourrait exploiter cette faille pour déposer et exécuter du code malveillant sur l’hôte WordPress.

Alcatel-Lucent

  • OmniAccess Stellar (Points d’accès Wi-Fi) – Trois vulnérabilités critiques ont été identifiées dans les produits OmniAccess Stellar d’Alcatel-Lucent :

arisoft

  • Contact Form 7 – Editor Button (WordPress) – Ce plugin (v1.0.0 et antérieures) présente une faille de Cross-Site Scripting (XSS) réflexif. En l’absence de neutralisation appropriée des entrées utilisateur lors de la génération de la page, un attaquant pourrait injecter du code JavaScript malveillant dans l’URL ou un champ, provoquant son exécution dans le navigateur de l’administrateur. CVE : CVE-2025-48345, CVSS 7.1.

Atakan Au

  • Import CDN/Remote Images (WordPress) – Vulnérabilité de type Cross-Site Request Forgery (CSRF) menant à du XSS stocké. Dans le plugin Import CDN/Remote Images (jusqu’à v2.1.2), un attaquant peut forcer un administrateur, via une requête piégée, à effectuer une action entraînant l’injection permanente de code malveillant (stocké) dans le site. CVE : CVE-2025-48153, CVSS 7.1.

August Infotech

  • Multi-language Responsive Contact Form (WordPress) – Ce plugin (jusqu’à v2.8) souffre d’un manque d’authentification sur certaines fonctionnalités, permettant à des utilisateurs non autorisés d’accéder à des actions normalement restreintes (violation des contrôles d’ACL). CVE : CVE-2025-29000, CVSS 7.5. Cette faiblesse pourrait être exploitée pour accéder à des fonctions sensibles du formulaire de contact sans être administrateur.

awethemes

  • Hillter (thème WordPress) – Le thème Hillter (jusqu’à v3.0.7) contient une vulnérabilité de désérialisation de données non fiables, conduisant à une injection d’objet PHP. CVE : CVE-2025-24777, CVSS 8.8. Un attaquant pourrait exploiter des données malformées pour exécuter du code arbitraire durant la désérialisation côté serveur.

b1accounting

  • B1.lt (WordPress) – Ce plugin (jusqu’à v2.2.56) présente une injection SQL via l’action AJAX b1_run_query sans vérification de capacités. Un utilisateur authentifié même minimal (abonné) peut exécuter des requêtes SQL arbitraires sur la base de données WordPress, compromettant potentiellement son intégrité ou exfiltrant des données. CVE : CVE-2025-6718, CVSS 8.8.

Bearsthemes

  • Alone – Charity Multipurpose Theme (WordPress) – Deux vulnérabilités critiques affectent ce thème Alone (jusqu’à v7.8.3) :
  • Bears Backup (WordPress) – Le plugin Bears Backup (jusqu’à v2.0.0), souvent utilisé avec le thème Alone, est vulnérable à une exécution de code à distance non authentifiée. La fonction bbackup_ajax_handle() ne fait aucune vérification de droit et appelle directement call_user_func() avec des données fournies par l’utilisateur. Un attaquant peut ainsi exécuter du code PHP arbitraire sur le serveur. CVE : CVE-2025-5396, CVSS 9.8. Note : Sur un site WordPress utilisant Alone ≤7.8.4, un attaquant pourrait d’abord exploiter la faille CVE-2025-5394 ci-dessus pour installer le plugin Bears Backup, puis tirer parti de cette RCE – une chaîne d’exploitation particulièrement dangereuse.

BossSoft

  • CRM 6.0 – Une injection SQL a été découverte dans BossSoft CRM v6.0, via le paramètre cstid de la page HNDCBas_customPrmSearchDtl.jsp. CVE : CVE-2025-7801, CVSS 7.3. L’attaque est possible à distance, et l’exploit aurait été publié publiquement, augmentant le risque d’exploitation par des acteurs malveillants non ciblés (grand public).

Campcodes

  • Online Movie Theater Seat Reservation System 1.0 – Vulnérabilité d’injection SQL dans manage_seat.php via le paramètre ID. CVE : CVE-2025-7838, CVSS 7.3. L’exploitation ne nécessite pas d’authentification et l’exploit est également divulgué au public, ce qui signifie qu’une attaque peut être facilement automatisée par n’importe qui.

chainguard-dev

  • apko (outil de construction d’images OCI) – Dans apko (v0.27.0 à 0.29.4), un bug des permissions de fichiers critiques les définissait en 0666 (lecture/écriture pour tous). Cela pourrait être détourné pour une élévation de privilèges (notamment sur Linux, des fichiers modifiables par n’importe quel utilisateur). CVE : CVE-2025-53945, CVSS 7.0. Remarque : la version 0.29.5 corrige ce problème.

Cisco

  • Identity Services Engine (ISE) & ISE-PIC – Une vulnérabilité critique permet à un attaquant non authentifié à distance d’exécuter du code arbitraire en tant que root sur l’appliance Cisco ISE. Aucune authentification n’est requise – il suffit d’envoyer une requête API spécialement conçue pour exploiter une validation insuffisante des entrées utilisateur. Impact CVSS maximal 10.0 (CVE-2025-20337). Autrement dit, un attaquant Internet pourrait obtenir un shell root sur le serveur ISE sans aucune information d’identification – un scénario extrêmement grave pour la sécurité du réseau.

CMSJunkie

  • WP-BusinessDirectory (WordPress) – Ce plugin de répertoire d’entreprises (jusqu’à v3.1.3) souffre d’une injection SQL aveugle. CVE : CVE-2025-24759, CVSS 9.3. Un attaquant peut injecter des paramètres malveillants dans des requêtes SQL, potentiellement exfiltrer ou altérer des données de la base de données WordPress, sans pour autant voir directement le résultat (d’où l’aspect « aveugle »).

cmsMinds

  • Pay with Contact Form 7 (WordPress) – Vulnérabilité de Cross-Site Scripting (XSS) dans ce plugin de paiement via formulaire (jusqu’à v1.0.4). Il s’agit d’un XSS réfléchi dû à une mauvaise neutralisation des entrées. CVE : CVE-2025-52777, CVSS 7.1. Un attaquant peut inciter un administrateur à cliquer sur un lien malveillant pour exécuter du script dans le contexte de son navigateur (potentiellement dérober sa session admin).

code-projects (fournisseur de scripts web)

Plusieurs applications web open-source de code-projects (versions 1.0 pour la plupart) présentent des vulnérabilités critiques d’injection SQL. Ce qui m’alerte particulièrement est la récurrence de ce même type de faille à travers différents projets, souvent accompagnée d’exploits publiés publiquement. Voici les modules affectés :

  • AVL Rooms – Deux injections SQL : l’une via first_name sur profile.php, l’autre via city sur city.php. CVE : CVE-2025-7605, CVE-2025-7606, CVSS 7.3 chacune.
  • Church Donation System – Pas moins de huit injections SQL ont été signalées dans ce système de donation (pages login.php, reg.php, members/Tithes.php, members/offering.php, members/giving.php, members/update_password_admin.php, members/login_admin.php, members/search.php). Chacune est critique (CVSS 7.3, ex: CVE-2025-7829 à CVE-2025-7833, CVE-2025-7859 à CVE-2025-7861). Toutes permettent, via différents paramètres (Username, mobile, trcode, Amount, etc.), d’injecter du SQL et potentiellement d’exfiltrer ou modifier la base de données. Fait préoccupant : pour chaque, l’exploit a été divulgué publiquement.
  • Electricity Billing System – Injection SQL via new_password sur user/change_password.php. CVE : CVE-2025-7610, CVSS 7.3.
  • Food Ordering Review System – Injection SQL via fname sur pages/signup_function.php. CVE : CVE-2025-7814, CVSS 7.3.
  • Job Diary – Trois injections SQL critiques via le paramètre ID sur view-all.php, view-emp.php et view-cad.php (CVE-2025-7593, 7594, 7595). CVSS 7.3.
  • Mobile Shop – Injection SQL via email sur login.php. CVE : CVE-2025-7612, CVSS 7.3.
  • Online Appointment Booking System – Huit injections SQL disséminées sur différentes pages admin (cover.php – paramètres uname/psw, admin/getmanagerregion.php – param city, admin/adddoctorclinic.php – param clinic, admin/addclinic.php – param cid, admin/deletedoctor.php – param did, admin/adddoctor.php – param Username, admin/deletedoctorclinic.php – param clinic, admin/addmanagerclinic.php – param clinic). CVE multiples : CVE-2025-7587, CVE-2025-7749 à 7753, CVE-2025-7764, 7765, toutes CVSS 7.3. Chacune peut permettre de contourner l’authentification et d’effectuer des actions directes sur la base de données (ex : ajouter un médecin malveillant, etc.). Là encore, les exploits sont publics.
  • Simple Shopping Cart – Trois injections SQL : Customers/save_order.php (order_price – CVE-2025-7607), userlogin.php (user_email – CVE-2025-7608), register.php (ruser_email – CVE-2025-7609). CVSS 7.3 chacune.
  • Wedding Reservation – Injection SQL via lu dans global.php. CVE : CVE-2025-7611, CVSS 7.3.

En résumé, la majorité de ces projets code-projects souffrent du même défaut : manque de filtrage/échappement des entrées utilisateurs, entraînant des injections SQL massives. Tous ces exploits sont connus publiquement, ce qui signifie que des bots ou attaquants opportunistes pourraient facilement cibler ces applications si elles sont exposées en ligne. Je recommande vivement un audit général de ces applications et la mise en place de correctifs ou de mesures de protection (par ex. un WAF) en urgence.

Codexpert, Inc

  • CoSchool LMS (WordPress) – Vulnérabilité de désérialisation d’entrée non fiable dans CoSchool LMS (jusqu’à v1.4.3), menant à une injection d’objet PHP. CVE : CVE-2025-30973, CVSS 9.8. Un attaquant pourrait, via une charge spécialement conçue, exécuter du code pendant la désérialisation. Impact potentiellement critique (RCE).

crmperks

  • Integration for Google Sheets & Contact Form plugins (WordPress) – Ce plugin d’intégration (jusqu’à v1.1.1) est vulnérable à une injection d’objet PHP par désérialisation de données non fiables. CVE : CVE-2025-7697, CVSS 9.8. Un attaquant non authentifié peut injecter un objet PHP malveillant. Remarque : combiné à la présence du plugin Contact Form 7 (très courant) qui offre une chaîne gadget, cela permettrait de supprimer des fichiers arbitraires (ex : wp-config.php), causant un déni de service ou RCE (WordPress se réinstallant dans un état compromis).
  • Integration for Pipedrive & Contact Form plugins (WordPress) – Vulnérabilité similaire d’injection PHP (désérialisation non fiable) dans ce plugin (v<=1.2.3). CVE : CVE-2025-7696, CVSS 9.8. Le contexte et les impacts sont analogues : suppression de fichiers critiques possible via un vecteur de désérialisation, aboutissant à une prise de contrôle potentielle du site.

CrushFTP

  • CrushFTP serveur (versions 10.x < 10.8.5 et 11.x < 11.3.4_23) – Une faille dans la validation AS2 (lorsque la fonctionnalité proxy DMZ n’est pas utilisée) permet à un attaquant distant d’obtenir un accès administrateur via HTTPS. En pratique, l’attaquant contourne l’authentification admin, pouvant administrer le serveur FTP. CVE : CVE-2025-54309, CVSS 9.0. Fait notable : cette vulnérabilité a été exploité activement dans la nature en juillet 2025. J’insiste sur ce point : si vous utilisez CrushFTP, appliquez immédiatement le correctif (mettez à jour en 10.8.5+ ou 11.3.4_23+) pour remédier à cette faille déjà exploitée.

D-Link

Plusieurs routeurs D-Link (anciens modèles DI-8100 et DIR-513) sont touchés par des dépassements de tampon :

  • D-Link DI-8100 – Six vulnérabilités critiques de type buffer overflow ont été trouvées dans la version 16.07.26A1 (et possiblement 1.0 pour certaines) :
  • D-Link DIR-513 – Deux dépassements de tampon critiques sont signalés sur ce vieux routeur (versions 1.0 et 1.10) :

(On note que ces équipements D-Link vulnérables sont anciens et probablement plus maintenus. Il est impératif de les isoler du réseau ou de les remplacer, car des exploits publics existent déjà et aucune mise à jour ne viendra corriger ces failles.)

danielriera

  • Counter live visitors for WooCommerce (WordPress) – Le plugin (v<=1.3.6) a une vulnérabilité de suppression arbitraire de fichiers via la fonction wcvisitor_get_block qui ne valide pas correctement le chemin. Un attaquant non authentifié peut cibler un dossier arbitraire et supprimer tous ses fichiers. CVE : CVE-2025-7359, CVSS 8.2. Cela peut provoquer une perte de données massive ou un déni de service (par exemple en vidant un répertoire critique du site).

dasinfomedia

  • School Management System (WordPress) – Ce plugin (<= v93.1.0) présente une Inclusion de fichier local (LFI) via le paramètre page. Un utilisateur authentifié de niveau abonné ou plus peut inclure et exécuter n’importe quel fichier du serveur. CVE : CVE-2025-3740, CVSS 8.8. Conséquence : si l’attaquant peut uploader une image ou un pseudo-fichier “inoffensif” quelque part, il peut ensuite l’inclure pour exécuter du PHP arbitraire (RCE). Note : dans un contexte WordPress multisite, cette faille pourrait même permettre à un abonné de réinitialiser le mot de passe d’un super-admin en incluant la vue d’administration correspondante – donc escalade majeure de privilège. Le correctif a été publié sous le numéro de version 1.93.1 (2 juillet 2025). Je recommande vivement de mettre à jour ce plugin au plus vite.

Dassault Systèmes

  • SOLIDWORKS eDrawings – Plusieurs failles critiques de corruption de mémoire ont été corrigées dans eDrawings 2025 (logiciel de visualisation CAO) :

designthemes

Trois thèmes WordPress de l’éditeur designthemes ont été identifiés avec des failles :

  • Invico – Consulting Business Theme – Faille XSS réfléchi (CVE-2025-31427, CVSS 7.1). Une entrée mal filtrée permet l’injection de script.
  • Ofiz – Business Consulting Theme – XSS réfléchi similaire (CVE-2025-31072, CVSS 7.1).
  • Visual Art – Gallery ThemeDésérialisation non fiable menant à une injection d’objet (CVE-2025-31422, CVSS 8.8). Dans tous les cas, l’exploitation se fait via l’interface web du thème. Je recommande de vérifier si des patches ou mises à jour de ces thèmes existent, étant donné la sévérité.

Dokploy

  • Dokploy (PaaS auto-hébergeable) – Une vulnérabilité d’exécution de code à distance non authentifiée a été découverte dans la fonctionnalité de déploiement de preview de Dokploy (avant v0.24.3). Il suffisait à un attaquant d’ouvrir une pull request sur un dépôt public lié à Dokploy pour exécuter du code arbitraire et accéder aux variables d’environnement sensibles du service. CVE : CVE-2025-53825, CVSS 9.4. Cette faille exposait potentiellement les secrets de nombreux utilisateurs de Dokploy. À titre de mesure immédiate, la version 0.24.3 a corrigé le problème. J’insiste sur l’importance de mettre à jour Dokploy si vous l’utilisez, car la nature trivialement exploitable de cette faille en fait une porte d’entrée critique pour des attaquants sur vos déploiements cloud privés.

DSIC (Digitware System Integration Corp)

  • Composant de création de documents officiels (cross-browser) – Ce composant ActiveX/COM de DSIC comporte une vulnérabilité d’exécution de code à distance. Si l’utilisateur visite un site web malveillant alors que le composant est actif, l’attaquant peut forcer le système à télécharger et exécuter un programme arbitraire. CVE : CVE-2025-7620, CVSS 8.8. En clair, c’est une faille de type drive-by download. Assurez-vous que ce composant n’est pas activé sur des postes naviguant sur Internet, ou déployez le correctif s’il existe, car c’est un vecteur d’infection potentiellement massif.

ELEXtensions

  • ELEX WooCommerce Advanced Bulk Edit – Vulnérabilité d’injection SQL (CVE-2025-47645, CVSS 8.5) dans ce plugin de bulk edit pour WooCommerce (v<=1.4.9). Un attaquant peut injecter des commandes SQL via des paramètres non sécurisés. Cela pourrait compromettre la base de données e-commerce (exfiltration de données clients, altération de prix, etc.). Je recommande de filtrer les entrées et de mettre à jour vers une version corrigée si disponible.

Eluktronics

  • Control Center (logiciel PC) – Une vulnérabilité critique dans Eluktronics Control Center 5.23.51.41 (outil d’overclocking/config PC portable) permet une injection de commandes via un script PowerShell non sécurisé. L’attaque nécessite un accès local (l’attaquant doit déjà exécuter du code sur la machine). Néanmoins, le vecteur est un script AiStoneService/MyControlCenter/Command mal protégé. CVE : CVE-2025-7883, CVSS 7.8. Note : Le chercheur a signalé ne pas avoir reçu de réponse du fournisseur, ce qui suggère qu’aucun patch n’est disponible. Il en a d’ailleurs publié les détails. En tant qu’utilisateur ou admin d’Eluktronics, soyez vigilant sur l’utilisation de ce Control Center. Évitez de l’exécuter sur des comptes non fiables et surveillez d’éventuels correctifs non-officiels ou mitigations (par ex., supprimer/renommer le script vulnérable).

Emby

  • Emby Server (Windows) – Deux failles critiques :

emlog

  • Emlog (CMS/blog open source) – Jusqu’à la version pro-2.5.17, Emlog présente une faille de Cross-site scripting (XSS) via le paramètre keyword qui n’est pas nettoyé. Un attaquant distant peut injecter du HTML/JS dans ce paramètre, et si un administrateur clique sur un lien piégé ou visite une page de recherche contenant ce mot-clé malveillant, le code s’exécutera dans son navigateur. CVE : CVE-2025-53923, CVSS 8.2. Aucun correctif n’était disponible au moment de l’avis. En d’autres termes, les utilisateurs d’Emlog doivent être extrêmement prudents quant aux liens suivis et envisager de filtrer côté serveur les paramètres keyword ou de désactiver cette fonction en attendant un patch.

eoxia

  • WPshop 2 – E-Commerce (WordPress) – Vulnérabilité de téléversement de fichier arbitraire dans WPshop 2 (< v1.3.9.6) via la fonction ajaxUpload qui n’effectue pas de validation sur le type de fichier. Un attaquant non authentifié peut uploader n’importe quel fichier sur le serveur (par exemple un script PHP déguisé), menant potentiellement à une exécution de code. CVE : CVE-2015-10135, CVSS 9.8. (Malgré le prefixe CVE-2015, cette vulnérabilité a été publiée en 2025, probablement une anomalie d’identifiant). Recommandation : mettre à jour WPshop 2 vers 1.3.9.6 ou supérieur, ou appliquer un patch manuel désactivant l’upload de fichiers non autorisés.

expressjs

  • Multer (middleware Node.js)Multer versions 1.4.4-lts.1 à 2.0.1 inclus comportent une faille permettant un déni de service (DoS) via une requête d’upload multipart malformée. Un attaquant peut envoyer une requête spécialement conçue qui provoque une exception non gérée, entraînant le crash du processus Node. CVE : CVE-2025-7338, CVSS 7.5. Aucun contournement n’existe hormis la mise à niveau en v2.0.2 où ce bug est corrigé. Il est donc important pour les développeurs utilisant Multer de mettre à jour dès que possible, ou de surveiller/filtrer la taille et la structure des uploads reçus.

EZiHosting

  • Tennis Court Bookings (plugin) – Vulnérabilité de type XSS réflexif (CVE-2025-52787, CVSS 7.1) dans ce plugin de réservation de courts de tennis (v<=1.2.7). Une entrée mal filtrée peut provoquer l’exécution de script malveillant dans le navigateur de la victime. Impact : vol de session possible, etc. Vu le périmètre limité (plugin spécifique), cette faille est à corriger surtout si le plugin est public.

Fortinet

  • FortiWeb (pare-feu applicatif web) – Versions vulnérables : 7.6.0 à 7.6.3, 7.4.0 à 7.4.7, 7.2.0 à 7.2.10, et <7.0.10. Une vulnérabilité d’injection SQL non authentifiée a été découverte. En envoyant des requêtes HTTP/HTTPS spécialement forgées, un attaquant non authentifié peut exécuter des commandes SQL arbitraires sur la base de données du FortiWeb. CVE : CVE-2025-25257, CVSS 9.6. Fortinet ayant un rôle critique en protection périmétrique, cette faille doit être patchée de toute urgence – je conseille d’appliquer le correctif fourni par l’éditeur ou de restreindre l’accès management du FortiWeb en attendant.

FunnelKit

  • Funnel Builder (WordPress) – Vulnérabilité d’injection SQL (CVE-2025-49034, CVSS 7.6) dans FunnelKit Funnel Builder (jusqu’à v3.10.2). Un attaquant peut exploiter des entrées non échappées pour altérer les requêtes SQL. Le risque est le vol ou la corruption de données dans WordPress. Bien que CVSS 7.6, j’estime que toute injection SQL sur un site e-commerce entraine un risque élevé (exfiltration de données client, etc.). Mettez à jour FunnelKit vers une version corrigée dès que possible.

FWDesign

  • Easy Video Player for WP & WooCommerce – Vulnérabilité de Path Traversal (traversée de répertoires) dans ce plugin (v<=10.0). Un attaquant peut accéder à des fichiers en dehors du répertoire prévu en manipulant le chemin (../). CVE : CVE-2025-28955, CVSS 7.5. Cela pourrait permettre de lire des fichiers sensibles sur le serveur (configurations, etc.) ou potentiellement d’écraser des fichiers (si combiné à de l’écriture). Ce type de faille peut souvent être pivot pour une escalade (ex: lire wp-config.php contenant les mots de passe). À corriger promptement.

Grafana

  • Grafana OSS – Une vulnérabilité de redirection ouverte a été introduite en Grafana v11.5.0, pouvant être chaînée avec une traversée de chemin pour réaliser un XSS. Concrètement, l’attaquant peut rediriger le navigateur de la victime vers une URL contenant du code malveillant. Versions fixes : 12.0.2+security-01, 11.6.3+security-01, 11.5.6+security-01, 11.4.6+security-01, 11.3.8+security-01. CVE : CVE-2025-6023, CVSS 7.6. Ayant moi-même déployé Grafana, j’ai noté cette faille car le vecteur open redirect peut sembler mineur, mais combiné à d’autres bugs c’est un angle d’attaque pour injection de code. Il est recommandé de mettre à jour Grafana immédiatement compte tenu du correctif disponible.

GT3themes

  • ListingEasy (WordPress) – Faille XSS dans le thème ListingEasy (<= v1.9.2). Un paramètre mal nettoyé permet un XSS réfléchi. CVE : CVE-2025-30955, CVSS 7.1. Impact modéré: un attaquant pourrait tromper un admin ou utilisateur pour cliquer sur un lien malveillant et voler des cookies de session, par exemple. Mise à jour du thème nécessaire.

Guru Team

  • Site Chat on Telegram (WordPress) – Vulnérabilité de désérialisation non fiable menant à une injection d’objet dans ce plugin de chat (<= v1.0.4). CVE : CVE-2025-30949, CVSS 9.8. Un attaquant peut envoyer une charge malveillante (probablement via un champ ou API du plugin) et exécuter du code PHP durant la désérialisation. Score élevé justifié : la prise de contrôle du site est possible sans authentification. Là aussi, corriger en priorité.

harry0703

  • MoneyPrinterTurbo – Dans cette application (<= v1.2.6), une faille critique réside dans l’API (app/controllers/base.py fonction verify_token) : absence totale d’authentification sur un endpoint sensible. Un attaquant distant pourrait appeler directement l’API pour exécuter des opérations sans jeton valide. CVE : CVE-2025-7897, CVSS 7.3. En d’autres termes, l’application ne vérifie pas correctement les tokens, ce qui la rend vulnérable à un usage non autorisé complet. J’espère qu’un patch a été publié rapidement étant donné la simplicité de l’exploitation.

Hewlett Packard Enterprise (HPE)

  • Telco Service Orchestrator – Une vulnérabilité permettant à un client authentifié d’effectuer une injection SQL via des requêtes de service a été identifiée. CVE : CVE-2025-37104, CVSS 7.1. Un attaquant interne (ayant des accès légitimes) pourrait exploiter cette faille pour extraire par exemple le type de base de données ou d’autres informations. Risque moindre qu’une attaque externe, mais cela pourrait être utilisé en post-exploitation par un pirate qui aurait compromis un compte utilisateur.
  • AutoPass License Server (APLS) – Trois failles critiques (version < 9.18) :

Hgiga

  • iSherlock (maillog 4.5) – Une injection de commande OS non authentifiée permet à un attaquant d’exécuter des commandes système arbitraires sur le serveur où iSherlock est installé. CVE : CVE-2025-7451, CVSS 9.8. Cette faille est activement exploitée dans la nature. Je souligne l’urgence : il faut mettre à jour immédiatement ou déconnecter ce service, car des attaques sont en cours. (Le bulletin indique clairement « déjà exploitée, veuillez mettre à jour immédiatement »).

HT Plugins

Le plugin HT Contact Form Widget (Elementor & Gutenberg) pour WordPress (<= v2.2.1) présente trois vulnérabilités critiques exploitées via ses fonctionnalités de gestion de fichiers temporaires :

  • Upload de fichiers arbitraires – Pas de validation du type de fichier dans temp_file_upload. Un attaquant non authentifié peut uploader un fichier malveillant sur le serveur (webshell PHP par ex.), menant à du RCE. CVE : CVE-2025-7340, CVSS 9.8.
  • Suppression arbitraire de fichiers – Chemin insuffisamment validé dans temp_file_delete(). Un attaquant peut supprimer n’importe quel fichier en connaissant son chemin. La suppression de wp-config.php ou d’un fichier système critique conduit souvent à compromettre le site (ex: reconfiguration forcée de WordPress => RCE). CVE : CVE-2025-7341, CVSS 9.1.
  • Déplacement arbitraire de fichiers – Absence de validation dans handle_files_upload(). Permet de déplacer des fichiers sur le serveur à volonté. En déplaçant wp-config.php hors de sa place, on cause une potentielle RCE de même nature. CVE : CVE-2025-7360, CVSS 9.1. Remarque : La combinaison de ces trois failles rend un site WordPress extrêmement vulnérable : un attaquant non authentifié peut téléverser une backdoor puis couvrir ses traces en supprimant ou déplaçant des fichiers. Il faut supprimer ou mettre à jour ce plugin en urgence. J’ajoute qu’une exploitation conjointe de ces failles a déjà été observée (selon mes sources communautaires), ce qui en fait une menace immédiate pour les sites concernés.

IBM

  • WebSphere Application Server / Liberty – Les versions WAS 9.0 et Liberty 17.0.0.3 à 25.0.0.7 sont vulnérables à un déni de service par dépassement de pile (stack overflow). Un attaquant peut envoyer une requête spécialement créée pour consommer toute la mémoire du serveur, provoquant un crash. CVE : CVE-2025-36097, CVSS 7.5. Ce type d’attaque DoS pourrait rendre indisponibles des applications critiques tournant sur WebSphere. IBM a probablement publié des correctifs (à vérifier sur le bulletin de sécurité IBM correspondant).

ImageMagick

Le célèbre éditeur d’images ImageMagick présente deux failles :

  • Boucle infinie lors d’une conversion XMP – Versions < 7.1.2-0 affectées. Un certain fichier XMP malveillant peut provoquer une écriture en boucle infinie, menant à un déni de service (consommation de ressources). CVE : CVE-2025-53015, CVSS 7.5. Corrigé en 7.1.2-0.
  • Dépassement de tampon via format de nom de fichier – Versions < 7.1.2-0 et < 6.9.13-26. En utilisant plusieurs spécificateurs %d consécutifs dans un nom de fichier passé à la commande magick mogrify, un dépassement de pile se produit (via vsnprintf). Possibilité d’exécution de code arbitraire. CVE : CVE-2025-53101, CVSS 7.4. Corrigé dans 7.1.2-0 et 6.9.13-26. Conseil : Mettez à jour ImageMagick à la version la plus récente, surtout si vous traitez des images fournies par des tiers, car ces failles peuvent être exploitées simplement en ouvrant une image piégée.

Infility

  • Infility Global – Vulnérabilité XSS réflexif dans cette application (<= v2.13.4). CVE : CVE-2025-47652, CVSS 7.1. L’injection de code est possible via une entrée non neutralisée dans la génération de page web. Impact : vol de cookie, etc., si un utilisateur clique sur un lien malicieux.

ISC

  • BIND 9 (EDNS Client Subnet) – Les versions 9.11.3-S1 à 9.16.50-S1, 9.18.11-S1 à 9.18.37-S1, et 9.20.9-S1 à 9.20.10-S1 de BIND sont vulnérables à une empoisonnement du cache DNS lorsqu’elles utilisent l’option ECS (EDNS Client Subnet). Un attaquant pourrait manipuler cette fonctionnalité pour insérer de fausses entrées DNS en cache. CVE : CVE-2025-40776, CVSS 8.6. Autrement dit, un résolveur configuré pour EDNS0 Client Subnet pourrait être amené à mettre en cache une mauvaise IP pour un nom de domaine, redirigeant les utilisateurs vers un site malveillant.
  • BIND 9 (serve-stale) – Versions 9.20.0 à 9.20.10, 9.21.0 à 9.21.9 affectées. Si serve-stale est activé avec stale-answer-client-timeout à 0, et que BIND rencontre une chaîne CNAME particulière, le daemon plante (assertion failure). CVE : CVE-2025-40777, CVSS 7.5. C’est un vecteur de déni de service : un attaquant pourrait potentiellement forcer le serveur DNS à s’arrêter en exploitant ce bug. Là encore, une mise à jour de BIND est le remède.

JetBrains

  • YouTrack – Dans YouTrack versions < 2025.2.86069 (et 2024.3.85077, 2025.1.86199), il était possible d’effectuer un spoofing d’email via une API administrative. CVE : CVE-2025-53959, CVSS 7.6. En exploitant cette faille, un attaquant ayant accès admin à l’API pouvait envoyer des emails avec des adresses falsifiées, ce qui pourrait être utilisé pour du phishing interne ou du social engineering en usurpant l’identité de quelqu’un. JetBrains a corrigé cela dans la version 2025.2.86069 ; il est conseillé de mettre à jour.

jetmonsters

  • JetFormBuilder (WordPress) – Vulnérabilité de désérialisation d’entrées non fiables (injection d’objet) dans ce plugin de formulaires (<= v3.5.1.2). CVE : CVE-2025-53990, CVSS 7.2. Un attaquant pourrait soumettre des données malicieuses via un formulaire exploitant la faille de désérialisation, menant potentiellement à l’exécution de code PHP. Comme toujours avec ce type de vulnérabilité, la mise à jour est impérative pour éviter une compromission du site.

Jinher

  • OA (collaborative Office) – Deux vulnérabilités de type XXE (XML External Entity) ont été découvertes dans Jinher OA :

josxha

  • Restrict File Access (WordPress) – Vulnérabilité CSRF menant à la suppression arbitraire de fichiers dans ce plugin (<= v1.1.2). L’absence de nonce de protection sur la page de configuration ‘restrict-file-access’ permet à un attaquant de forcer un administrateur (via un simple lien/piège) à exécuter une action de suppression de fichier. CVE : CVE-2025-7667, CVSS 8.1. Un attaquant pourrait ainsi faire supprimer wp-config.php par l’admin à son insu, causant une compromission (RCE ou reconfiguration du site malveillante). Même si cela nécessite d’abuser un admin, la sévérité est élevée car WordPress supprime sans confirmation. Sensibilisez vos administrateurs à ne pas cliquer n’importe où et mettez à jour le plugin.

karimmughal

  • Dot html, php, xml etc pages (WordPress) – Plugin vulnérable à un XSS réfléchi (<= v1.0). CVE : CVE-2025-52779, CVSS 7.1. Une entrée non neutralisée dans ce plugin peut être exploitée pour injecter un script malveillant. L’impact reste celui d’un XSS classique.

Kingdom Creation

  • Media Folder (WordPress) – Vulnérabilité XSS réfléchi similaire (<= v1.0.0). CVE : CVE-2025-52786, CVSS 7.1.

À ce stade, je constate une tendance : de nombreux petits plugins WordPress présentent des XSS basiques, souvent avec des CVSS ~7.1. Ces failles sont moins critiques que des RCE, mais dans un contexte admin WordPress, elles peuvent conduire à la compromission du site via vol de cookie admin. Je conseille aux administrateurs de passer en revue leurs plugins installés et de les maintenir à jour, car ces vulnérabilités sont courantes et facilement exploitables.

LambertGroup

  • HTML5 Radio Player (addon WPBakery) – Vulnérabilité de Path Traversal (<= v2.5). Un attaquant peut accéder à des fichiers hors du répertoire autorisé en manipulant le chemin dans cet addon de lecteur radio. CVE : CVE-2025-31070, CVSS 7.5. Un path traversal pourrait, par exemple, permettre de lire le fichier wp-config.php ou d’autres fichiers de config contenant des mots de passe, compromettant la base de données du site.

LB-LINK

  • Routeurs BL-AC1900 / AC2100_AZ3 / AC3600 / AX1800 / AX5400P / WR9000 – Une vulnérabilité critique d’authentification insuffisante existe via l’interface web (lighttpd.cgi reboot/restore) sur ces modèles (firmware ≤ 20250702). Un attaquant distant peut, sans login, exécuter les actions de reboot ou de restauration, etc., à distance. CVE : CVE-2025-7574, CVSS 9.8. L’exploit est public et le fabricant n’a pas donné suite lors du signalement, donc pas de patch officiel.
  • Routeur BL-AC3600 (v1.0.22) – Présence de identifiants codés en dur (compte root:blinkadmin) dans /etc/shadow, menant à une porte dérobée locale. CVE : CVE-2025-7564, CVSS 7.8. Là encore, l’exploit est public et aucune réponse du vendeur. Ces routeurs LB-LINK étant non corrigés, ils constituent un risque majeur. Un attaquant pourrait aisément les contrôler à distance (notamment le premier ensemble de modèles). Il faut envisager de les remplacer ou d’isoler strictement leur accès (ex : pas d’exposition WAN, filtrage IP, etc.).

Lenovo

  • Lenovo Browser – Vulnérabilité XSS permettant à un site web malveillant de voler des informations sensibles si l’utilisateur utilise Lenovo Browser. CVE : CVE-2025-6248, CVSS 7.4. Ce navigateur propriétaire est peu utilisé en France, mais les utilisateurs concernés doivent le mettre à jour ou éviter de l’utiliser sur des sites non fiables.
  • Elliptic Labs Virtual Lock Sensor (ThinkPad P1 Gen6) – Faille de permissions incorrectes permettant à un utilisateur local authentifié d’élever ses privilèges. CVE : CVE-2025-0886, CVSS 7.8. Contexte : ce service de capteur de proximité mal configuré pourrait permettre à un simple user d’obtenir des droits admin sur le système.
  • Lenovo Vantage – Deux vulnérabilités d’absence de validation peuvent permettre à un attaquant local de lancer du code avec privilèges élevés en modifiant soit un fichier de configuration de l’application, soit certaines clés de registre. CVE : CVE-2025-6231 et CVE-2025-6232, CVSS 7.8. Lenovo Vantage est préinstallé sur de nombreux PC Lenovo pour gérer les mises à jour et paramètres. Un malware déjà présent sur la machine pourrait exploiter ces failles pour obtenir la persistance en tant qu’administrateur. La leçon : toujours restreindre l’accès local et appliquer les mises à jour Lenovo.

Leviton

  • AcquiSuite & Energy Monitoring Hub – Vulnérabilité XSS stocké via des paramètres d’URL dans l’interface web. Un attaquant peut injecter un script qui sera exécuté dans le navigateur de tout utilisateur consultant la page, permettant de voler des tokens de session ou de prendre le contrôle du service via l’interface admin. CVE : CVE-2025-6185, CVSS 9.3. Étant donné la haute sévérité (9.3), c’est probablement un XSS administrateur non authentifié – potentiellement exploitable sans login si l’interface n’est pas correctement protégée. J’encourage à mettre à jour le firmware de ces hubs Leviton au plus vite.

LoginPress

  • LoginPress Pro (WordPress) – Vulnérabilité d’usurpation d’authentification sur ce plugin d’authentification sociale (<= v5.0.1). En raison d’une vérification insuffisante de l’utilisateur renvoyé par le jeton social login, un attaquant non authentifié qui a accès à l’adresse email d’un administrateur (par exemple) pourrait se connecter en tant que lui via OAuth, même si cet admin n’a jamais lié ce fournisseur OAuth. CVE : CVE-2025-7444, CVSS 9.8. En clair, c’est une faille grave : connaissant juste l’email d’une cible, un attaquant pourrait se connecter sur son compte WordPress si le site utilise LoginPress Pro. La priorité absolue est de mettre à jour ce plugin ou de le désactiver en attendant un fix, car il ouvre la porte à une compromission complète du site.

Logpoint

  • Logpoint SIEM (< 7.6.0) – Un utilisateur malveillant ayant des privilèges d’opérateur (compte non admin mais avec certains droits) peut exploiter une vulnérabilité de path traversal lors de la création d’un modèle de mise en page, pour aboutir à une exécution de code à distance. CVE : CVE-2025-54317, CVSS 8.4. En gros, un opérateur Logpoint pourrait sortir de son périmètre et obtenir un accès système complet. Bien que cela nécessite d’avoir déjà un compte, c’est critique dans un contexte multi-utilisateurs ou si un compte opérateur est compromis. La mise à niveau vers 7.6.0 ou supérieure est nécessaire.

lynton_reed

  • Work The Flow File Upload (WordPress) – Ce plugin (<= v2.5.2) intègre un script jQuery-File-Upload 9.5.0 vulnérable, permettant l’upload arbitraire de fichiers sans contrôle. Un attaquant non authentifié peut déposer des fichiers malveillants (shells) sur le serveur, menant à du RCE. CVE : CVE-2015-10138, CVSS 9.8. Il s’agit d’une vieille faille (connue depuis plusieurs années) du composant jQuery-File-Upload. Le fait qu’elle soit encore présente suggère que le plugin n’a pas été mis à jour. À corriger de toute urgence, en remplaçant ou supprimant les fichiers incriminés.

mailcow

  • Mailcow: dockerized – Les versions antérieures à 2025-07 de cette suite mail open-source contiennent une vulnérabilité de Server-Side Template Injection (SSTI) dans le système de notification de quotas. Un administrateur de mailcow pouvait configurer un modèle de notification malveillant pour exécuter du code sur le serveur lors du rendu du template (injection d’expressions template). CVE : CVE-2025-53909, CVSS 9.1. Cette faille nécessite un accès admin à l’interface, donc c’est plutôt un scénario de menace interne ou post-compromission. Néanmoins, un pirate ayant compromis l’interface d’admin pourrait l’exploiter pour obtenir un accès direct au serveur mail. La version 2025-07 corrige le problème.

malcure

  • Malcure Malware Scanner (WordPress) – Vulnérabilité de suppression arbitraire de fichier (authentifié) dans ce plugin de sécurité (<= v16.8). La fonction wpmr_delete_file() ne vérifie pas les capacités : un utilisateur abonné (faibles privilèges) peut donc supprimer des fichiers arbitraires. CVE : CVE-2025-6043, CVSS 8.1. Cette suppression de fichiers peut conduire à du RCE (par ex. suppression de wp-config.php) mais uniquement si le site est en mode “advanced”. Note : La vulnérabilité nécessite d’être authentifié (même faible), ce qui réduit un peu la probabilité, mais c’est un plugin de sécurité – voir un scanner anti-malware introduire une faille critique est assez ironique. Mettez-le à jour rapidement.

MangaBooth

  • Madara – Core (WordPress) – Vulnérabilité de suppression arbitraire de fichiers non authentifiée dans ce plugin de gestion de mangas (<= v2.2.3). La fonction wp_manga_delete_zip() ne valide pas suffisamment le chemin, permettant de supprimer n’importe quel fichier. CVE : CVE-2025-7712, CVSS 9.1. Suppression de fichiers comme wp-config.php => possibilité de RCE en réinstallant WordPress ou en modifiant la configuration. Ce plugin très spécifique doit être mis à jour pour corriger cette faille.

markjaquith

  • Subscribe to Comments (WordPress) – Ce plugin (<= v2.1.2) souffre d’une Inclusion de fichier local (LFI) via l’en-tête HTTP Path. Un administrateur authentifié peut inclure et exécuter des fichiers PHP arbitraires sur le serveur. CVE : CVE-2015-10133, CVSS 7.2. Cette faille nécessite d’être admin, donc c’est plus une escalade locale (ex: un admin malveillant peut abuser de l’application – cas limité). Cependant, combiné à d’autres vulnérabilités qui donneraient un accès admin à un attaquant, cela pourrait être utilisé pour la persistance. À patcher tout de même.

Mbed (Arm)

  • Mbed TLS (< 3.6.4) – Une utilisation après libération (use-after-free) a été découverte dans la fonction mbedtls_x509_string_to_names() de la librairie TLS. Celle-ci libère un pointeur passé en paramètre alors que la documentation ne le suggère pas, ce qui fait que l’application appelante conserve des pointeurs vers de la mémoire déjà libérée. CVE : CVE-2025-47917, CVSS 8.9. En clair, un programme qui utilise Mbed TLS en suivant la doc pourrait subir un plantage voire une exécution de code arbitraire si un attaquant parvient à exploiter ce comportement (par ex. avec un certificat mal formé contenant plusieurs DN dans le SAN). Deux utilitaires d’exemple (cert_write et cert_req) sont explicitement mentionnés comme affectés. Je recommande aux développeurs utilisant Mbed TLS de passer en version 3.6.4 ou supérieure et de recompiler leurs applications.

Md. Yeasin Ul Haider

Le script URL Shortener (raccourcisseur d’URL pour WordPress) version <= 3.0.7 présente trois vulnérabilités graves :

  • Injection SQL – Absence de neutralisation de certains champs, permettant une injection SQL (CVE-2025-28959, CVSS 9.3).
  • Désérialisation non fiable (Injection d’objet) – Permet l’exécution de code via un objet PHP injecté (CVE-2025-28961, CVSS 9.8).
  • Absence d’authentification (contrôle d’accès) – Certaines fonctions peuvent être appelées sans vérification de droits, permettant à un utilisateur non autorisé d’accéder à des fonctionnalités normalement restreintes (CVE-2025-28965, CVSS 8.6). Ces trois failles combinées rendent le plugin extrêmement dangereux à exposer. La désérialisation non fiable (9.8) en particulier signifie qu’un attaquant non authentifié pourrait exécuter du PHP et prendre le contrôle du site. Ce plugin doit être désactivé ou patché immédiatement.

Metagauss

  • ProfileGrid (WordPress) – Vulnérabilité d’injection SQL (CVE-2025-49876, CVSS 8.5) dans ProfileGrid (<= v5.9.5.2). Impact : un attaquant pourrait exfiltrer/modifier des données de profil ou autres en exploitant ce bug. Mise à jour requise car CVSS 8.5 signifie un vecteur potentiellement non authentifié ou très impactant.

Metasoft

  • MetaCRM (版) – Jusqu’à la v6.4.2, cette solution CRM contient une faille d’authentification insuffisante sur la page /debug.jsp. Un attaquant distant peut accéder à cette page de debug critique sans authentification et potentiellement effectuer des actions privilégiées. CVE : CVE-2025-7875, CVSS 7.3. L’exploit est public et aucune réponse du vendeur n’a été faite. Cela rappelle le cas LB-LINK : absence de patch en vue. Si vous utilisez MetaCRM, je préconise de restreindre son accès réseau strictement (VPN) ou d’appliquer vos propres mesures compensatoires (supprimer la page debug.jsp si non nécessaire).

Microsoft (Cloud et Entreprise)

  • Azure DevOps – Une faille d’élévation de privilèges a été corrigée (CVE-2025-47158, CVSS 9.0). Elle provient d’une mauvaise hypothèse d’immutabilité de certaines données, permettant à un attaquant non autorisé de prendre des privilèges via le réseau. Microsoft n’a pas donné beaucoup de détails dans le CVE public, mais on peut imaginer un vecteur comme la manipulation d’un JWT ou d’un paramètre de configuration non vérifié.
  • Azure Machine Learning – Deux vulnérabilités critiques, toutes deux permettant à un attaquant déjà authentifié sur le service d’élever ses privilèges dans l’environnement ML. L’une est due à une mauvaise gestion d’autorisations (CVE-2025-49746, CVSS 9.9) et l’autre à l’absence de vérification d’autorisation (CVE-2025-49747, CVSS 9.9). En somme, un utilisateur Azure ML avec des droits limités pourrait devenir administrateur du service ML ou exécuter des actions non prévues. Microsoft a dû déployer des patchs côté service compte tenu du score quasi maximal.
  • Microsoft Purview – Un problème de liste d’entrées autorisées trop permissive permet à un attaquant authentifié d’élever ses privilèges (CVE-2025-53762, CVSS 8.7). Purview est une solution de gouvernance de données ; un utilisateur malveillant pourrait accéder à des données ou actions normalement restreintes. Patch appliqué par Microsoft probablement.
  • SharePoint Enterprise Server 2016 – Une vulnérabilité de désérialisation non fiable dans les versions on-premises de SharePoint 2016 permet à un attaquant non authentifié d’exécuter du code à distance sur le serveur. CVE : CVE-2025-53770, CVSS 9.8. Microsoft a indiqué avoir connaissance d’un exploit dans la nature pour cette faille. Aucun correctif n’était immédiatement disponible au 20 juillet, mais des mitigations ont été publiées en attendant le patch complet. En tant que responsable sécurité, c’est un point critique : il faut appliquer les mesures de contournement fournies (qui consistent généralement à désactiver la fonctionnalité vulnérable via PowerShell) jusqu’à ce que le patch soit déployé. SharePoint étant souvent exposé en intranet, cette faille peut être exploitée par un acteur interne ou pivotant sur le réseau.

mojoomla

  • WPGYM (WordPress) – Vulnérabilité d’injection SQL (CVE-2025-32574, CVSS 8.5) dans le plugin WPGYM (<= v65.0). Cela peut permettre à un attaquant d’exécuter des requêtes SQL non autorisées via l’application (peut-être via des paramètres non filtrés dans l’interface de gym en ligne). Corrigez cette faille si vous utilisez ce plugin, car une injection SQL peut compromettre toutes les données utilisateur inscrites (nom, email, etc.) et potentiellement insérer une backdoor admin dans le site.

Motorola

  • Rescue and Smart Assistant (RSA) – Software Fix – L’installateur de cette application d’assistance Motorola a une vulnérabilité de DLL hijacking qui permet à un attaquant local d’élever ses privilèges lors de l’installation. CVE : CVE-2025-1700, CVSS 7.0. Concrètement, un attaquant pourrait placer une DLL malveillante nommée d’une certaine façon dans un répertoire accessible, et l’installateur RSA l’exécutera avec les privilèges administrateur. Donc, si un malware est présent sur la machine et qu’un utilisateur lance l’installateur, il pourrait obtenir une élévation de privilèges. Conseil : toujours exécuter ce type d’outil en s’assurant de l’intégrité de l’environnement, ou appliquer le correctif de Motorola qui certainement charge les DLL de façon sécurisée.

mywebsiteadvisor

  • Simple Backup (WordPress) – Vulnérabilité de téléchargement arbitraire de fichiers (path traversal) dans ce plugin de sauvegarde (<= v2.7.10). La fonction download_backup_file ne vérifie ni les capacités ni le type de fichier, permettant à un attaquant de télécharger des fichiers sensibles du site (par ex. wp-config.php contenant les identifiants de base). CVE : CVE-2015-10134, CVSS 7.5. En gros, n’importe quel utilisateur connaissant l’URL appropriée pourrait récupérer les backups ou même d’autres fichiers. C’est une porte ouverte sur des infos critiques ; je recommande de limiter l’accès à ce plugin ou de le mettre à jour sans délai.

NixOS

  • Nix (gestionnaire de paquets) – Sur macOS, la version 2.30.0 de Nix a un bug : les builds étaient exécutées avec les privilèges root au lieu de l’utilisateur de build. CVE : CVE-2025-53819, CVSS 7.9. Ceci pourrait permettre à un paquet malveillant d’altérer le système (puisqu’il est construit en tant que root). Heureusement, la version 2.30.1 corrige ce comportement. Assurez-vous que vos environnements Nix sont à jour, surtout sur macOS, pour éviter ce risque d’escalade involontaire de privilèges.

NooTheme

  • Yogi (WordPress) – Vulnérabilité de désérialisation non fiable dans le thème Yogi (<= v2.9.0). CVE : CVE-2025-24779, CVSS 8.8. Un attaquant pourrait injecter un objet malveillant via un des champs du thème (peut-être un widget ou une option) et obtenir l’exécution de code. Ce thème étant payant, la diffusion de la faille est peut-être limitée, mais je suggère de le mettre à jour via ThemeForest s’ils ont livré un patch.

nuxt-modules

  • @nuxtjs/mdc (Markdown to Vue) – Vulnérabilité de XSS stocké / inclusion de script à distance dans ce module (<= v0.17.1). Un auteur de Markdown malveillant peut insérer une balise <base href= »https://attacker.tld »> dans le contenu. Cela a pour effet de réécrire tous les chemins relatifs suivants vers un domaine de l’attaquant, forçant le chargement de scripts externes dans le contexte du site. CVE : CVE-2025-54075, CVSS 8.3. En pratique, si vous autorisez des utilisateurs à soumettre du Markdown, ils pourraient introduire du JS arbitraire exécuté côté client. La version 0.17.2 corrige le problème. C’est un exemple intéressant de détournement via la balise <base> plutôt que du script direct – soyez-en conscients lors des revues de sécurité.

NVIDIA

  • NVIDIA Container Toolkit – Sur toutes plateformes, deux vulnérabilités :
  • NVIDIA DOCA-Host & Mellanox OFED – Une vulnérabilité dans la fonctionnalité VGT+ permet à un attaquant depuis une VM de causer une élévation de privilèges et un déni de service sur le VLAN hôte. CVE : CVE-2025-23263, CVSS 7.6. Ceci concerne les environnements virtualisés utilisant les solutions NVIDIA/Mellanox pour l’accélération réseau. Un attaquant sur une VM pourrait échapper partiellement à son isolation. Il est crucial d’appliquer les correctifs fournis par NVIDIA pour éviter des attaques inter-VM.

XWiki

  • XWiki Rendering – Le moteur de rendu XHTML de XWiki (< v14.10) avait une dépendance au syntaxeur xdom+xml/current qui autorise l’insertion de blocs HTML bruts, y compris du JavaScript. Résultat : un utilisateur pouvant éditer une page (ex : sa page de profil, ce qui est autorisé par défaut) pouvait injecter du JS arbitraire dans la page, entraînant un XSS. CVE : CVE-2025-53835, CVSS 9.1. Cette faille a été corrigée en retirant cette dépendance en version 14.10. Notons que le syntaxeur xdom+xml reste vulnérable mais est conçu pour des tests et rarement installé sur un wiki de prod. Si vous administrez un XWiki, assurez-vous d’être en >=14.10 ou d’avoir désinstallé xdom+xml pour éliminer ce vecteur.

YayCommerce

Plusieurs plugins WordPress de YayCommerce destinés aux emails transactionnels contenaient des vulnérabilités d’injection SQL (toutes CVSS 7.6) :

  • SMTP for Amazon SES (<= v1.9) – CVE : CVE-2025-54043.
  • SMTP for SendGrid (YaySMTP) (<= v1.5) – CVE : CVE-2025-48301.
  • YayExtra (<= v1.5.5) – CVE : CVE-2025-48299.
  • YaySMTP (<= v1.3) – CVE : CVE-2025-48161. Chacune de ces extensions ne neutralisait pas correctement les entrées dans les requêtes SQL, permettant potentiellement à un attaquant de manipuler la base de données (par ex., changer la configuration d’envoi d’email, rediriger des mails, ou pire, créer un admin furtif). Il est fort probable que YayCommerce ait publié des mises à jour simultanées pour ces plugins mi-juillet 2025 ; je conseille de les appliquer sans faute étant donné la facilité d’exploitation d’une injection SQL.

zishanj

  • GI-Media Library (WordPress) – Vulnérabilité de traversée de répertoires (<= v3.0) via le paramètre fileid. Un attaquant non authentifié peut lire le contenu de fichiers arbitraires sur le serveur en manipulant ce paramètre. CVE : CVE-2015-10136, CVSS 7.5. Par exemple, un attaquant pourrait accéder au fichier wp-config.php et y récupérer les identifiants base de données. Ce plugin de médiathèque doit être mis à jour ou patché pour restreindre strictement les chemins autorisés.

Zyxel

  • NWA50AX PRO (firmware 7.10(ACGE.2) et antérieurs) – Vulnérabilité de path traversal dans le programme CGI file_upload.cgi. Un attaquant authentifié (admin) peut accéder à certains répertoires et supprimer des fichiers, notamment le fichier de configuration du point d’accès. CVE : CVE-2025-6265, CVSS 7.2. Ce bug nécessite d’être admin, donc impacté surtout en cas où un attaquant aurait déjà compromis les identifiants (menace interne ou exploitation d’une autre faille). La suppression du fichier de config pourrait causer un déni de service du point d’accès ou la réinitialisation de celui-ci.
  • VMG8825-T50K (firmware < V5.50(ABOM.5)C0) – Vulnérabilité de dépassement de tampon dans le parseur d’URL du serveur web (zhttpd). Un attaquant non authentifié peut envoyer une requête HTTP malveillante provoquant un DoS et possiblement une exécution de code. CVE : CVE-2025-7673, CVSS 9.8. C’est extrêmement critique pour un routeur exposé sur Internet : un exploit permettrait de le crasher ou pire, d’exécuter du code (prendre le contrôle du routeur). Zyxel a publié une mise à jour de firmware corrigeant ce problème ; il est impératif de l’appliquer.

Conclusion

Je partage avec vous en tant qu’expert cybersécurité, l’analyse de ce bulletin hebdomadaire de la CISA du 14 juillet 2025 qui révèle un grand nombre de vulnérabilités critiques touchant des domaines variés : plugins WordPress, équipements réseau, logiciels d’entreprise, solutions cloud, etc. Plusieurs tendances se dégagent :

  • De nombreuses failles WordPress (plugins et thèmes) sur des fonctionnalités d’upload, de suppression de fichiers ou d’injection SQL/XSS. Cela souligne l’importance pour les administrateurs web de maintenir à jour leurs extensions et de limiter les plugins non essentiels ou peu fiables. Pour les équipes CERT, une veille spécifique sur les plugins WP populaires est nécessaire, car ils sont une cible privilégiée et souvent exploités en masse dès la publication des exploits.
  • Des équipements réseau/IoT obsolètes (D-Link, LB-LINK, Zyxel, etc.) qui présentent des failles de type dépassement de tampon, backdoors ou contournements d’auth. Beaucoup de ces produits ne sont plus supportés par les vendeurs, ce qui signifie absence de correctifs. La recommandation évidente est de les retirer ou isoler du réseau. Par exemple, les vieux routeurs D-Link et LB-LINK ne devraient plus être utilisés en production.
  • Des vulnérabilités critiques sur des solutions d’entreprise et cloud (Cisco ISE, HPE, Microsoft Azure/SharePoint, Logpoint). Celles-ci ont généralement fait l’objet de correctifs rapides par les éditeurs. Cependant, le fait que certains exploits soient déjà dans la nature (ex: SharePoint, CrushFTP, iSherlock) est alarmant. Les équipes SOC doivent s’assurer de la mise à jour immédiate de ces systèmes et surveiller tout signe d’exploitation (logs d’accès suspects, indicateurs de compromission connus).
  • Des failles dans des logiciels couramment utilisés par les utilisateurs (Lenovo Vantage, Motorola RSA, etc.) qui rappellent que la sécurité poste de travail est tout aussi importante. Un attaquant local ou un malware déjà présent peut souvent exploiter ces vulnérabilités pour aller plus loin (élévation de privilège). D’où la nécessité d’un bon anti-malware, de politiques de privilèges limités, et du déploiement des mises à jour logicielles en environnement bureautique également.

J’ai pris la décision de décrire chaque vulnérabilité individuellement pour mettre en avant sa nature et son impact.

En tant que CISO ou analyste CERT, je vous conseille de prioriser les mesures suivantes :

  • Identifier dans votre parc les systèmes affectés (serveurs, applications, plugins web, équipements réseau). Pour chaque CVE listé, demandez-vous : “Avons-nous ce composant chez nous ?”. Un inventaire à jour facilite cette tâche.
  • Appliquer les correctifs disponibles sans attendre, en commençant par les failles déjà exploitées activement (ex : SharePoint CVE-2025-53770, iSherlock, CrushFTP, etc.) ou celles offrant un accès non authentifié à des attaquants distants (CVE Cisco ISE, FortiWeb, Zyxel…).
  • Mettre en place des mesures de mitigation temporaires si un patch n’est pas dispo : désactiver une fonctionnalité vulnérable, restreindre l’accès (firewall, VPN), augmenter la surveillance des logs pour détecter une exploitation. Par exemple, pour SharePoint 2016 CVE-2025-53770, Microsoft a fourni des mitigations à appliquer immédiatement en attendant le correctif. De même, pour les routeurs non patchés, segmentation réseau et filtrage strict s’imposent.
  • Surveiller les exploits publics – Beaucoup de vulnérabilités mentionnées ont des codes d’exploitation publiés ou sont intégrées dans des outils d’attaque courants. Par conséquent, attendez-vous à voir ces failles exploitées rapidement de manière opportuniste (surtout les injections SQL sur des CMS, les RCE sur routeurs/IoT et les failles WordPress critiques). Ajustez vos règles de détection en conséquence (IDS/IPS, SIEM use-cases).

En conclusion, cette semaine du 14 juillet 2025 illustre bien la diversité des menaces actuelles : du simple XSS au RCE sans authentification sur des appliances réseau, aucune couche n’est épargnée. Mon conseil est de rester proactif : ne pas attendre qu’une vulnérabilité soit exploitée chez vous pour réagir. Tenez-vous informés via les bulletins de la CISA (ou équivalents) chaque semaine, et intégrez ces informations dans votre processus de gestion des vulnérabilités.

La cybersécurité est un effort continu, et la réactivité face à ce type d’alertes est clé pour protéger efficacement nos infrastructures et données.

Merci à la CISA pour ce travail précis.

Enjoy !

Source: https://www.cisa.gov/news-events/bulletins/sb25-202