Ah, les alertes CVE du CERT-FR du 1er octobre â câest un peu comme recevoir une carte postale « salut, tâas des trous dans tes serveurs ». On tape dedans, on rigole (jaune) et on montre comment colmater les brĂšches sans se faire avoir. Voici donc un panorama critique (dans tous les sens du terme), agrĂ©mentĂ© de CVE, de risques, et des contournements Ă mettre en place avant que le script kiddie du coin ne vienne te jouer du PHP.
1. OpenSSL â CERTFR-2025-AVI-0835
âMultiples vulnĂ©rabilitĂ©s dans OpenSSL. ExĂ©cution de code arbitraire Ă distance, dĂ©ni de service, atteinte Ă la confidentialitĂ©.â CERT-FR
- CVE-2025-9230 : lecture et Ă©criture hors bornes dans la gestion du âKEK Unwrapâ (PKCS12). Aucune exĂ©cution arbitraire documentĂ©e, mais cela peut provoquer un crash (DoS). openssl.org
- CVE-2025-4575 : cet âajout de trust au lieu de rejetâ dans les certificats X.509 dans lâapplication
openssl x509: si tu avais voulu marquer un certificat comme rejetĂ© pour un usage, il serait marquĂ© confiĂ©. Faute de gestion correcte des âusesâ. openssl-library.org - CVE-2025-9231 : canal auxiliaire (timing) dans lâalgorithme SM2 sur ARM64. Impact modĂ©rĂ©. openssl-library.org
- CVE-2025-9232 : lecture hors borne dans le composant HTTP client (rĂŽle âno_proxyâ). Effet principal : crash possible. openssl-library.org
- Et aussi des CVE antĂ©rieures / non directement liĂ©es (ex : CVE-2024-12797 sur handshake RFC7250) apparaissent dans la liste dâOpenSSL. openssl-library.org
Ăvaluation & sarcasme
Oui, âmultiples vulnĂ©rabilitĂ©sâ câest un peu comme âlâĂ©tĂ© il fait chaudâ â mais dans le cas dâOpenSSL, câest plus que de la chaleur : câest le sauna permanent. Le souci, câest que certaines vulnĂ©rabilitĂ©s (comme la 9230, 9232) sont de type crash / DoS, tandis que la 4575 est presque conceptuelle (mauvais trust dans la gestion de lâoutil). Câest pas la panique ultime, mais câest le genre de merde qui te mord dans la nuit quand tâas une confiance aveugle dans ta pile TLS.
Risque concret
- Applications chargeant des fichiers PKCS12 / manipulations de certificats pourraient planter ou mal gérer un certif.
- Une dĂ©fense âsilencieuseâ pourrait ĂȘtre contournĂ©e dans des scĂ©narios oĂč quelquâun veut rejeter un usage de certificat via lâoutil
openssl x509(rare, mais possible). - Le canal timing (CVE-9231) : faut ĂȘtre prĂ©cis, ça demande de la sophistication.
Patch / correctifs / parades
- Mettre à jour OpenSSL vers les versions corrigées : par exemple, ces CVE ont des correctifs dans les versions 3.5.4, 3.4.3, 3.3.5, etc. pour les failles 9230, 9231, 9232. openssl.org
- Recompiler les apps avec la version patchĂ©e dâOpenSSL.
- Pour le bug 4575 : Ă©viter dâutiliser la commande
openssl x509 -addrejectdans les versions affectĂ©es ; vĂ©rifier les usages de cet outil dans les scripts. - En environnements sensibles, monitorer les crashs TLS / logs anormaux, et limiter lâutilisation de composants PKCS12 mal contrĂŽlĂ©s.
2. Tenable â CERTFR-2025-AVI-0836
âMultiples vulnĂ©rabilitĂ©s dans Tenable Security Center, exĂ©cution de code arbitraire, Ă©lĂ©vation de privilĂšges, contournement de politique.â CERT-FR
HypothĂšse / pistes
- Ce pourrait ĂȘtre des vulnĂ©rabilitĂ©s internes Ă Tenable, pas encore largement publiĂ©es ou pas cataloguĂ©es dans NVD / MITRE.
- Le CERT-FR pourrait avoir des CVE coquilles ou des identifiants internes (non publics) dans son document complet.
Que faire dans ce vide ?
- VĂ©rifier le bulletin complet de CERT-FR pour obtenir les identifiants CVE prĂ©cis (souvent dans la partie âdĂ©tails techniquesâ).
- Contacter Tenable pour obtenir le correctif officiel.
- Mettre Ă jour immĂ©diatement lâinstance Tenable (Security Center) dĂšs quâun patch est publiĂ©.
- Appliquer des bonnes habitudes : segmentation, accĂšs limitĂ©, surveillance accrue, âdefense in depthâ.
Si tu veux, je peux creuser les bulletins internes de Tenable pour trouver les CVE manquants â je peux essayer ça.
3. Joomla! â CERTFR-2025-AVI-0833
âMultiples vulnĂ©rabilitĂ©s dans Joomla!. ConfidentialitĂ©, injection de code indirect (XSS).â CERT-FR đ°
Ah, Joomla, le CMS quâon aime bien critiquer â mais bon, lĂ ils ont fait fort.
CVE déjà connus + récents
- CVE-2025-22204 : vulnĂ©rabilitĂ© dans lâextension Sourcerer (versions < 11.0.0), exĂ©cution de code Ă distance (RCE). Score estimĂ© ~ 9.8 (Critique) selon le vecteur estimĂ©. NVD
- CVE-2025-25226 : injection SQL dans
quoteNameStrde la couche âDatabaseâ dans le framework Joomla. Pour certaines extensions hĂ©ritĂ©es ou custom, usage possible. Joomla! Developer Networkâą - CVE-2025-25227 : contournement de lâauthentification MFA (bypass) dans Joomla Core (versions affectĂ©es 4.0.0 â 5.2.5). Joomla! Developer Networkâą
- CVE-2025-22207 : injection SQL dans le composant Scheduler (backend) via clause ORDER mal construite. Joomla! Developer Networkâą
- CVE-2025-22213 : upload de fichiers malicieux dans le Media Manager (Ă©quivalent âupload dâun PHP dĂ©guisĂ©â). Joomla! Developer Networkâą
- Dâautres CVE plus âmodĂ©rĂ©sâ : XSS dans checkAttribute (CVE-2025-54476) ; User enumeration Passkey (CVE-2025-54477) Joomla! Developer Networkâą
Ăvaluation & moquerie
Joomla se comporte comme ce type dans une soirĂ©e qui promet âquâon va faire une fĂȘte surpriseâ mais qui oublie de fermer les portes â fenĂȘtres, portes, toit, tout est ouvert. Il y a des vecteurs partout. Lâextension Sourcerer qui permet de faire du code embarquĂ© est littĂ©ralement une bombe Ă retardement : lâajouter dans un site Joomla, câest comme inviter un ninja chez toi sans dire Ă ta porte de se verrouiller. Rappelons que c’est l’extension qui est visĂ©e, le core de Joomla! ici n’y est pour rien… Ouf! Mais bon Regular Labs n’a pas fini de faire des promos sur ses bundles. Courage Peter !
Les autres failles montrent que le cĆur de Joomla nâest pas clean : uploader des fichiers, bypasser MFA, injecter du SQL⊠câest le festival des mauvaises pratiques.
Risques concrets
- RCE via lâextension Sourcerer : si le site lâutilise (souvent pour embed de code ou de scripts), un attaquant peut exĂ©cuter du code PHP arbitraire.
- Upload malicieux : un user (avec des droits âeditâ ou mĂ©dia) pourrait dĂ©poser un PHP maquillĂ©.
- Bypass MFA : valider le systĂšme dâauth sans contrĂŽle.
- SQLi dans le backend, ce nâest pas glam, mais cela donne lâaccĂšs aux donnĂ©es ou la corruption.
- XSS / fuite dâinfo : les vecteurs du âcheckAttributeâ peuvent permettre Ă un attaquant de piĂ©ger des utilisateurs front-end.
Patch / contournements
- Mettre à jour Joomla aux versions corrigées :
â pour le XSS, mettre Ă jour vers Joomla 4.4.14 ou 5.3.4 Joomla! Developer Networkâą
â pour la core et les failles, suivre les annonces de sĂ©curitĂ© Joomla. - DĂ©sactiver ou supprimer les extensions Ă haut risque (ex : Sourcerer) si inutiles ou contrĂŽler strictement leur usage.
- Restreindre les droits dâupload : ne donner la capacitĂ© de tĂ©lĂ©charger des fichiers quâaux rĂŽles de confiance, vĂ©rifier les types MIME, filtrer les extensions (ex : interdire les
.php). - Activer des scans de sĂ©curitĂ© / WAF qui bloquent les types de payload (upload exĂ©cutable, requĂȘtes suspectes).
- Surveiller les logs pour toute trace dâURL suspecte ou dâinjection (requĂȘtes contenant
<script>, etc.).
4. Mozilla Firefox â CERTFR-2025-AVI-0834
âMultiples vulnĂ©rabilitĂ©s dans Mozilla Firefox. Atteinte Ă la confidentialitĂ©, contournement de politique, problĂšme de sĂ©curitĂ© non spĂ©cifiĂ©.â CERT-FR
CVE notables
- CVE-2025-10537 : plusieurs bugs de sécurité mémoire (use-after-free, etc.), certains pouvant conduire à exécution de code. Affecte Firefox < 143, ESR < 140.3. Mozilla
- CVE-2025-2857 : sandbox escape via mauvaise gestion de âhandle IPCâ sur Windows. Score 10.0 (CRITICAL) selon certaines sources. wiz.io+2Security Affairs
- Dâautres vulnĂ©rabilitĂ©s plus âmodestesâ sont listĂ©es dans lâavis CIS / Mozilla : integer overflow dans le SVG, spoofing WebAuthn, bypass dans la compatibilitĂ©, etc.
Ăvaluation et sarcasme
Firefox, faut lui dire de se calmer â câest comme un ados surboostĂ© : plein dâĂ©nergie, mais parfois il fait des conneries (use-after-free, erreur de gestion IPC). Le bug 2857 est particuliĂšrement cocasse : un exploit sandbox, ça veut dire que tâavais confiance dans le âbac Ă sableâ de Firefox mais il se met Ă faire des trous. Lâironie : le navigateur censĂ© te protĂ©ger finit par te lĂącher des doublons de vulnĂ©rabilitĂ©.
Risque concret
- Pour les utilisateurs mal mis à jour, un attaquant pourrait exécuter du code via un site web ou un fichier manipulé.
- Le sandbox escape permet de sortir du confinement, ce qui est encore plus dangereux.
- Des fuites de donnĂ©es ou des attaques de spoofing (fausses pages) sont aussi possibles via les vulnĂ©rabilitĂ©s âmodĂ©rĂ©esâ.
Patch / contournements
- Mettre à jour Firefox / ESR vers les versions corrigées (>= 143 / >= 140.3) Mozilla
- Si tu utilises Firefox sur Windows, sâassurer particuliĂšrement que le correctif pour 2857 est appliquĂ©.
- Dans un contexte entreprise, verrouiller les versions, forcer les mises à jour, désactiver les modules non indispensables, surveiller les crashs ou comportements anormaux.
5. Autre alerte intéressante : Grafana
CERT-FR a aussi publié récemment une alerte sur Grafana (AVIS 2025-AVI-0344). CERT-FR
- Vulnérabilités de type XSS et contournement de politique.
- Lié aux CVE CVE-2025-3260, CVE-2025-2703, CVE-2025-3454 selon le bulletin Grafana. CERT-FR
- Solution : appliquer le patch du bulletin de sécurité de Grafana. CERT-FR
MĂȘme si ce nâĂ©tait pas dans ta liste initiale, je lâajoute â parce que si on parle de âmultiples vulnĂ©rabilitĂ©sâ, autant tout inclure.
Bref, ces alertes nous rappellent que le logiciel âpopulaireâ (OpenSSL, Joomla, Firefox) est une cible de choix. Le patching doit ĂȘtre rapide, la surveillance active, les permissions rĂ©duites. Et surtout, ne jamais croire quâun âoutil de sĂ©curitĂ©â (Tenable) est lui-mĂȘme invulnĂ©rable.
