🧨 CVE : Quand OpenSSL, Joomla et Firefox font leur show de faille (et comment les calmer)

Ah, les alertes CVE du CERT-FR du 1er octobre — c’est un peu comme recevoir une carte postale « salut, t’as des trous dans tes serveurs ». On tape dedans, on rigole (jaune) et on montre comment colmater les brèches sans se faire avoir. Voici donc un panorama critique (dans tous les sens du terme), agrémenté de CVE, de risques, et des contournements à mettre en place avant que le script kiddie du coin ne vienne te jouer du PHP.

1. OpenSSL – CERTFR-2025-AVI-0835

“Multiples vulnérabilités dans OpenSSL. Exécution de code arbitraire à distance, déni de service, atteinte à la confidentialité.” CERT-FR

• CVE-2025-9230 : lecture et écriture hors bornes dans la gestion du “KEK Unwrap” (PKCS12). Aucune exécution arbitraire documentée, mais cela peut provoquer un crash (DoS). openssl.org
• CVE-2025-4575 : cet “ajout de trust au lieu de rejet” dans les certificats X.509 dans l’application openssl x509 : si tu avais voulu marquer un certificat comme rejeté pour un usage, il serait marqué confié. Faute de gestion correcte des “uses”. openssl-library.org
• CVE-2025-9231 : canal auxiliaire (timing) dans l’algorithme SM2 sur ARM64. Impact modéré. openssl-library.org
• CVE-2025-9232 : lecture hors borne dans le composant HTTP client (rôle “no_proxy”). Effet principal : crash possible. openssl-library.org
• Et aussi des CVE antérieures / non directement liées (ex : CVE-2024-12797 sur handshake RFC7250) apparaissent dans la liste d’OpenSSL. openssl-library.org

Évaluation & sarcasme
Oui, “multiples vulnérabilités” c’est un peu comme “l’été il fait chaud” — mais dans le cas d’OpenSSL, c’est plus que de la chaleur : c’est le sauna permanent. Le souci, c’est que certaines vulnérabilités (comme la 9230, 9232) sont de type crash / DoS, tandis que la 4575 est presque conceptuelle (mauvais trust dans la gestion de l’outil). C’est pas la panique ultime, mais c’est le genre de merde qui te mord dans la nuit quand t’as une confiance aveugle dans ta pile TLS.

Risque concret

• Applications chargeant des fichiers PKCS12 / manipulations de certificats pourraient planter ou mal gérer un certif.
• Une défense “silencieuse” pourrait être contournée dans des scénarios où quelqu’un veut rejeter un usage de certificat via l’outil openssl x509 (rare, mais possible).
• Le canal timing (CVE-9231) : faut être précis, ça demande de la sophistication.

Patch / correctifs / parades

• Mettre à jour OpenSSL vers les versions corrigées : par exemple, ces CVE ont des correctifs dans les versions 3.5.4, 3.4.3, 3.3.5, etc. pour les failles 9230, 9231, 9232. openssl.org
• Recompiler les apps avec la version patchée d’OpenSSL.
• Pour le bug 4575 : éviter d’utiliser la commande openssl x509 -addreject dans les versions affectées ; vérifier les usages de cet outil dans les scripts.
• En environnements sensibles, monitorer les crashs TLS / logs anormaux, et limiter l’utilisation de composants PKCS12 mal contrôlés.

2. Tenable – CERTFR-2025-AVI-0836

“Multiples vulnérabilités dans Tenable Security Center, exécution de code arbitraire, élévation de privilèges, contournement de politique.” CERT-FR

Hypothèse / pistes

• Ce pourrait être des vulnérabilités internes à Tenable, pas encore largement publiées ou pas cataloguées dans NVD / MITRE.
• Le CERT-FR pourrait avoir des CVE coquilles ou des identifiants internes (non publics) dans son document complet.

Que faire dans ce vide ?

• Vérifier le bulletin complet de CERT-FR pour obtenir les identifiants CVE précis (souvent dans la partie “détails techniques”).
• Contacter Tenable pour obtenir le correctif officiel.
• Mettre à jour immédiatement l’instance Tenable (Security Center) dès qu’un patch est publié.
• Appliquer des bonnes habitudes : segmentation, accès limité, surveillance accrue, “defense in depth”.

Si tu veux, je peux creuser les bulletins internes de Tenable pour trouver les CVE manquants — je peux essayer ça.

3. Joomla! – CERTFR-2025-AVI-0833

“Multiples vulnérabilités dans Joomla!. Confidentialité, injection de code indirect (XSS).” CERT-FR 😰

Ah, Joomla, le CMS qu’on aime bien critiquer — mais bon, là ils ont fait fort.

CVE déjà connus + récents

• CVE-2025-22204 : vulnérabilité dans l’extension Sourcerer (versions < 11.0.0), exécution de code à distance (RCE). Score estimé ~ 9.8 (Critique) selon le vecteur estimé. NVD
• CVE-2025-25226 : injection SQL dans quoteNameStr de la couche “Database” dans le framework Joomla. Pour certaines extensions héritées ou custom, usage possible. Joomla! Developer Network™
• CVE-2025-25227 : contournement de l’authentification MFA (bypass) dans Joomla Core (versions affectées 4.0.0 – 5.2.5). Joomla! Developer Network™
• CVE-2025-22207 : injection SQL dans le composant Scheduler (backend) via clause ORDER mal construite. Joomla! Developer Network™
• CVE-2025-22213 : upload de fichiers malicieux dans le Media Manager (équivalent “upload d’un PHP déguisé”). Joomla! Developer Network™
• D’autres CVE plus “modérés” : XSS dans checkAttribute (CVE-2025-54476) ; User enumeration Passkey (CVE-2025-54477) Joomla! Developer Network™

Évaluation & moquerie
Joomla se comporte comme ce type dans une soirée qui promet “qu’on va faire une fête surprise” mais qui oublie de fermer les portes — fenêtres, portes, toit, tout est ouvert. Il y a des vecteurs partout. L’extension Sourcerer qui permet de faire du code embarqué est littéralement une bombe à retardement : l’ajouter dans un site Joomla, c’est comme inviter un ninja chez toi sans dire à ta porte de se verrouiller. Rappelons que c’est l’extension qui est visée, le core de Joomla! ici n’y est pour rien… Ouf! Mais bon Regular Labs n’a pas fini de faire des promos sur ses bundles. Courage Peter !

Les autres failles montrent que le cœur de Joomla n’est pas clean : uploader des fichiers, bypasser MFA, injecter du SQL… c’est le festival des mauvaises pratiques.

Risques concrets

• RCE via l’extension Sourcerer : si le site l’utilise (souvent pour embed de code ou de scripts), un attaquant peut exécuter du code PHP arbitraire.
• Upload malicieux : un user (avec des droits “edit” ou média) pourrait déposer un PHP maquillé.
• Bypass MFA : valider le système d’auth sans contrôle.
• SQLi dans le backend, ce n’est pas glam, mais cela donne l’accès aux données ou la corruption.
• XSS / fuite d’info : les vecteurs du “checkAttribute” peuvent permettre à un attaquant de piéger des utilisateurs front-end.

Patch / contournements

• Mettre à jour Joomla aux versions corrigées :
  – pour le XSS, mettre à jour vers Joomla 4.4.14 ou 5.3.4 Joomla! Developer Network™
  – pour la core et les failles, suivre les annonces de sécurité Joomla.
• Désactiver ou supprimer les extensions à haut risque (ex : Sourcerer) si inutiles ou contrôler strictement leur usage.
• Restreindre les droits d’upload : ne donner la capacité de télécharger des fichiers qu’aux rôles de confiance, vérifier les types MIME, filtrer les extensions (ex : interdire les .php).
• Activer des scans de sécurité / WAF qui bloquent les types de payload (upload exécutable, requêtes suspectes).
• Surveiller les logs pour toute trace d’URL suspecte ou d’injection (requêtes contenant <script>, etc.).

4. Mozilla Firefox – CERTFR-2025-AVI-0834

“Multiples vulnérabilités dans Mozilla Firefox. Atteinte à la confidentialité, contournement de politique, problème de sécurité non spécifié.” CERT-FR

CVE notables

• CVE-2025-10537 : plusieurs bugs de sécurité mémoire (use-after-free, etc.), certains pouvant conduire à exécution de code. Affecte Firefox < 143, ESR < 140.3. Mozilla
• CVE-2025-2857 : sandbox escape via mauvaise gestion de “handle IPC” sur Windows. Score 10.0 (CRITICAL) selon certaines sources. wiz.io+2Security Affairs
• D’autres vulnérabilités plus “modestes” sont listées dans l’avis CIS / Mozilla : integer overflow dans le SVG, spoofing WebAuthn, bypass dans la compatibilité, etc.

Évaluation et sarcasme
Firefox, faut lui dire de se calmer — c’est comme un ados surboosté : plein d’énergie, mais parfois il fait des conneries (use-after-free, erreur de gestion IPC). Le bug 2857 est particulièrement cocasse : un exploit sandbox, ça veut dire que t’avais confiance dans le “bac à sable” de Firefox mais il se met à faire des trous. L’ironie : le navigateur censé te protéger finit par te lâcher des doublons de vulnérabilité.

Risque concret

• Pour les utilisateurs mal mis à jour, un attaquant pourrait exécuter du code via un site web ou un fichier manipulé.
• Le sandbox escape permet de sortir du confinement, ce qui est encore plus dangereux.
• Des fuites de données ou des attaques de spoofing (fausses pages) sont aussi possibles via les vulnérabilités “modérées”.

Patch / contournements

• Mettre à jour Firefox / ESR vers les versions corrigées (>= 143 / >= 140.3) Mozilla
• Si tu utilises Firefox sur Windows, s’assurer particulièrement que le correctif pour 2857 est appliqué.
• Dans un contexte entreprise, verrouiller les versions, forcer les mises à jour, désactiver les modules non indispensables, surveiller les crashs ou comportements anormaux.

5. Autre alerte intéressante : Grafana

CERT-FR a aussi publié récemment une alerte sur Grafana (AVIS 2025-AVI-0344). CERT-FR

• Vulnérabilités de type XSS et contournement de politique.
• Lié aux CVE CVE-2025-3260, CVE-2025-2703, CVE-2025-3454 selon le bulletin Grafana. CERT-FR
• Solution : appliquer le patch du bulletin de sécurité de Grafana. CERT-FR

Même si ce n’était pas dans ta liste initiale, je l’ajoute — parce que si on parle de “multiples vulnérabilités”, autant tout inclure.

Bref, ces alertes nous rappellent que le logiciel “populaire” (OpenSSL, Joomla, Firefox) est une cible de choix. Le patching doit être rapide, la surveillance active, les permissions réduites. Et surtout, ne jamais croire qu’un “outil de sécurité” (Tenable) est lui-même invulnérable.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com