Comme chaque semaine, le CERT-FR nous livre son florilège estival : un savant mélange de CVE juteuses, de correctifs oubliés, et de rappels de bon sens que peu appliquent. On déballe ensemble le bulletin ACT-029, histoire de voir ce qui chauffe côté cybersécurité, pendant que les DSI sont déjà en mode tong / VPN mal configuré.
“L’été sera chaud… surtout dans les CVE.”
🔗 Lien vers le bulletin original CERTFR-025-ACT-029
🐍 Python et l’art de s’injecter
Commençons par une vulnérabilité discrète mais redoutable dans Python 3.12.x : une mauvaise gestion de la mémoire dans strxfrm() (CVE-2025-29154). En clair : un utilisateur peut provoquer un dépassement de mémoire si l’entrée est mal contrôlée.
Pas de POC grand public encore, mais si vous avez des applis web où Python gère du tri / classement d’input utilisateur… il est temps de patcher.
🧯 Action recommandée : mettre à jour Python vers la version corrigée (3.12.4) sans délai. Les containers Docker python:3.12 ont aussi été mis à jour — donc pas d’excuse.
🖥️ Dell, Lenovo et HP… sponsorisent les vulnérabilités BIOS
Oui, encore. Plusieurs vulnérabilités critiques (CVE-2025-31742, -31743, etc.) dans les BIOS des PC pro sous firmware InsydeH2O, Lenovo UEFI, et autres. Ces failles permettent à un attaquant local de désactiver Secure Boot, injecter un malware persistant, et rire pendant que vous redémarrez en boucle.
L’attaque requiert souvent des droits admin, mais avec un phishing réussi ou un contournement UAC, c’est la porte ouverte au bootkit.
🔧 Action recommandée :
- Vérifier les versions de BIOS/UEFI en place.
- Appliquer les mises à jour proposées par les constructeurs.
- Interdire aux utilisateurs non autorisés l’accès aux paramètres UEFI via GPO/BIOS password.
💡 Conseil bonus : dans les environnements sensibles, désactiver la mise à jour automatique du firmware via Windows Update, source régulière de surprises.
🌐 WordPress, Joomla, Drupal : c’est le mois des plugins foireux
On note un pic dans les CVE touchant les CMS open source — souvent via des plugins non maintenus. Parmi les plus notables :
- Un plugin WordPress d’e-commerce (CVE-2025-31417) avec une injection SQL en POST.
- Une extension Joomla (toujours très utilisée en interne) permettant l’exécution de code arbitraire.
- Un thème Drupal avec des fichiers JS non filtrés exposant les tokens CSRF.
🎯 Moralité :
- Auditez vos CMS (même les sites “internes”).
- Supprimez ce qui est obsolète.
- Et comme toujours : pas de plugin = pas de faille (en théorie).
📡 Rappel sur la faille CitrixBleed 2 : toujours pas patché ? Sérieux ?
Le CERT-FR insiste, à raison : la vulnérabilité CitrixBleed 2 (sur NetScaler ADC/Gateway) continue de faire des ravages.
Entre les exploit kits disponibles, les groupes APT qui s’en régalent, et les entreprises qui n’ont toujours pas patché… on frôle la sélection naturelle.
👉 Notre saga sur CitrixBleed 2.
📦 Autres vulnérabilités notables listées dans le bulletin :
| CVE ID | Produit | Gravité | Exploitable à distance ? | Patch dispo ? |
|---|---|---|---|---|
| CVE-2025-31231 | Node.js LTS | Critique | ✅ Oui | ✅ Oui |
| CVE-2025-30888 | Fortinet FortiOS | Élevée | ✅ Oui | ✅ Oui |
| CVE-2025-30942 | SAP NetWeaver | Élevée | 🚫 Non | ✅ Oui |
💣 Mention spéciale pour SAP : l’exploitation requiert un accès local, mais en contexte interne d’entreprise avec un SAP mal cloisonné, ça reste critique.
🛡️ Que faire cette semaine ?
- 🔄 Patch Tuesday = priorité aux mises à jour Microsoft (dont plusieurs zero-day en circulation).
- 📊 Faire un point sur votre inventaire matériel (UEFI/BIOS à jour ?)
- 🧩 Auditer vos CMS et plugins — et virer tout ce qui dort en prod.
- 📥 Mettre en place une routine de veille CERT-FR automatisée, si ce n’est déjà fait (RSS, mail, ou via Make.com et votre outil préféré).
- 🧠 Former les équipes IT à identifier les cas de shadow patching (les patchs faits à moitié… ou à la main).
💬 En conclusion : l’été n’est pas une trêve pour les failles
Le bulletin CERT-FR ACT-029 nous le rappelle encore : la cybersécurité ne prend pas de vacances. Vos systèmes non plus.
Alors si vous voulez vraiment dormir tranquille, oubliez les cocktails et vérifiez vos BIOS.
🕶️ Et si vous êtes encore sur Citrix non patché… retirez vos lunettes de soleil, vous allez pleurer.
