La fin juillet et le tout début août 2025 ont offert un festival de vulnérabilités critiques CVE – digne d’un feu d’artifice estival. Pour celles et ceux qui pensaient que la cybersécurité prenait des vacances, c’est raté. Entre des failles critiques sur des produits massivement déployés et des exploitations déjà en cours, les équipes IT ont eu de quoi transpirer. Voici notre récapitulatif des CVE marquantes du 28 juillet au 1er août 2025.
💣 SharePoint Server : le cauchemar des admins continue
Microsoft l’a confirmé cette semaine : les serveurs SharePoint on‑premises sont devenus le terrain de jeu favori de plusieurs groupes chinois, dont Storm‑2603, qui exploitent activement CVE‑2025‑49704, 49706, et deux bypass de correctifs (53770 et 53771).
Objectif : déployer des ransomwares comme Warlock et Lockbit sur des infrastructures encore vulnérables.
Le pire ? Même les serveurs « patchés » mais pas redémarrés correctement peuvent être compromis. Microsoft recommande donc :
- Application immédiate des correctifs,
- Redémarrage d’IIS,
- Activation d’AMSI/Defender et d’un EDR avant tout redémarrage.
Les SOC rapportent déjà des activités suspectes sur plusieurs réseaux d’entreprise. Moralité : si vous avez encore du SharePoint on‑prem, il est temps de le traiter comme un serveur exposé… parce que c’est exactement ce qu’il est.
🥵 Citrix NetScaler & Ivanti : le retour des fantômes
Côté appliances réseau, la série continue :
- CVE‑2025‑5777 (CVSS 9.3) affecte Citrix NetScaler ADC/Gateway avec un scénario d’exfiltration de jetons d’authentification, digne d’un « CitrixBleed 2 ».
- Dans la même veine, Ivanti Connect Secure voit encore circuler des attaques sur CVE‑2025‑0282 et 22457, utilisées pour déployer MDifyLoader et même des Cobalt Strike Beacons en mémoire.
Si votre réseau s’appuie sur ces solutions, appliquez les correctifs avant de devenir une nouvelle statistique dans le rapport de la CISA.
🌐 Chrome & Apple : double dose de zero‑day
La semaine a été marquée par deux correctifs urgents pour les navigateurs :
- CVE‑2025‑8292, un use‑after‑free dans Media Stream de Chrome 138, exploitable pour exécution de code.
- CVE‑2025‑6558, une zero‑day cross‑platform affectant Chrome sur iOS, iPadOS et macOS Sequoia, permettant d’exécuter du code malveillant via une page HTML piégée.
Moralité : patcher vite, redémarrer vos navigateurs, et rappeler à vos utilisateurs que « cliquer sur des vidéos de chat random » n’est toujours pas une stratégie de cybersécurité.
🖥️ Linux et bibliothèques open source dans la ligne de mire
Le 28 juillet 2025, plusieurs vulnérabilités ont été publiées :
- CVE‑2025‑38480 dans le driver Comedi du noyau Linux, qui pourrait entraîner des corruptions ou mauvaises écritures sur du matériel industriel.
- CVE‑2025‑7783, une faille critique dans la librairie form‑data de Node.js, qui permet potentiellement une RCEvia un simple upload malicieux.
Pour l’open source, la leçon est toujours la même : mettre à jour vite, surtout quand vos projets dépendent d’une chaîne npm ou pip interminable.
🌐 WordPress et SaaS exotiques : RCE et SQLi pour tous
Le 1er août 2025 a apporté son lot de mauvaises surprises pour les applications web :
- CVE‑2025‑5394 touche le thème WordPress Alone (≤ 7.8.3) et permet une exécution de code à distance via upload de fichiers. Oui, encore une RCE sur WordPress…
- CVE‑2025‑8436 affecte projectworlds Online Admission System avec une injection SQL basique, mais suffisante pour compromettre l’ensemble des données de la plateforme.
Dans les deux cas, si vos devs ou intégrateurs ont encore laissé traîner ces composants vulnérables en prod, c’est le moment de faire une petite chasse au trésor (et de revoir vos politiques de patching).
🏁 Conclusion : une semaine à patcher sans attendre
Entre SharePoint en feu, Citrix et Ivanti toujours sous pression, des zero‑days navigateur, et des RCE WordPress à la chaîne, cette semaine nous rappelle que la cybersécurité estivale n’existe pas.
Conseils pratiques :
- Priorisez les environnements exposés à Internet (SharePoint, Citrix, WordPress).
- Appliquez tous les correctifs publiés entre le 28 juillet et le 1er août 2025.
- Vérifiez la présence d’éventuelles intrusions, surtout si vous avez mis du temps à patcher.
- Surveillez vos flux EDR/SIEM, parce que Warlock et ses copains n’attendent pas la rentrée pour frapper.
En résumé : patch now, cry never.
