Résumé de la semaine #43 (du 20 au 24 octobre 2025)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par MongoDB pour SQL Interface [1], par Gitlab [2], par Atlassian pour Jira [3] et Bamboo Data Center et Server [4], par Google pour Chrome [5] [6], par Microsoft pour Edge [7], par Linux Foundation pour ArgoCD [8], par Ubiquiti Networks pour Unifi Access Application [9], par Citrix pour XenServer [10] et par Oracle dans le cadre de son Patch d’octobre 2025 [11]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein d’Adobe Commerce et Magento Open Source [12]

Un code d’exploitation tirant parti de la vulnérabilité CVE-2025-54236 affectant Adobe Commerce et Magento Open Source a été publié. Ce code d’exploitation effectue une attaque en trois phases coordonnées qui tire parti d’une faille de désérialisation imbriquée combinée à un upload de fichier non authentifié. La première phase consiste à générer une payload de session malveillante, la seconde exploite l’endpoint /customer/address_file/upload qui, bien que destiné à gérer des attributs personnalisés d’adresses clients, permet l’upload de fichiers sans aucune authentification, tandis que la troisième phase déclenche la chaîne de désérialisation via une requête API POST, provoquant ainsi l’exécution du code malveillant lors de la lecture de la session. Le CERT-XMCO recommande l’installation du correctif de sécurité VULN-32437-2-4-X-patch applicable à l’ensemble des versions affectées des produits vulnérables disponible à l’adresse suivante : https://experienceleague.adobe.com/en/docs/experience-cloud-kcs/kbarticles/ka-27397

Prise de contrôle du système et contournement de sécurité via 2 vulnérabilités au sein de Microsoft SharePoint Server [13]

Un code d’exploitation tirant parti des vulnérabilités CVE-2025-53770 et CVE-2025-53771 affectant Microsoft SharePoint Server a été publié. Les codes d’exploitation des CVE-2025-53770 et CVE-2025-53771 utilisent un template Nuclei pour envoyer une requête HTTP POST forgée vers un endpoint SharePoint vulnérable, injectant un payload malveillant de désérialisation .NET compressé qui permet l’exécution de code arbitraire. La CVE-2025-53771 contourne les mécanismes d’authentification grâce à un header Referer falsifié, permettant l’exploitation sans authentification préalable. Le CERT-XMCO recommande l’installation des versions suivantes de SharePoint Server disponibles aux adresses suivantes : Microsoft SharePoint Server Subscription Edition KB5002768 et Microsoft SharePoint Server 2019 KB5002754.

Informations

Vulnérabilités exploitées

Exploitation malveillante de la faille de sécurité CVE-2025-54236 (aka SessionReaper) affectant Magento [14]

Le 22 octobre 2025, les chercheurs de SearchLight Cyber ont publié l’analyse technique d’une faille de sécurité affectant Magento (aka Adobe Commerce), l’une des solutions de e-commerce les plus populaires utilisées sur Internet. Référencée CVE-2025-54236 et documentée SessionReaper, cette vulnérabilité provenait d’un défaut de configuration de la REST API (CWE-20). Cette vulnérabilité maintenant corrigée permettait à un attaquant distant et non authentifié de contourner des restrictions de sécurité en accédant à des comptes clients. Bien qu’aucun code d’exploitation (PoC) ne soit en l’état publiquement disponible, le CERT-XMCO recommande l’application des correctifs de sécurité publiés par Adobe pour endiguer les risques associés à son exploitation active (cf. CXA-2025-5206).

L’APT chinois Salt Typhoon cible des entreprises européennes du secteur des télécommunications en exploitant une vulnérabilité Citrix [15]

Le 20 octobre 2025, des chercheurs de Darktrace ont révélé une campagne de cyberespionnage visant le secteur européen des télécommunications, attribuée au groupe chinois Salt Typhoon (cf. CXN-2025-4953). L’attaque, détectée dès la première semaine de juillet 2025, s’est probablement appuyée sur l’exploitation d’un appareil Citrix NetScaler Gateway pour obtenir un accès initial. Après avoir obtenu l’accès, les assaillants ont pivoté vers les hôtes Citrix Virtual Delivery Agent du réseau interne, masquant l’origine de leurs activités via un service SoftEther VPN afin de camoufler leur infrastructure.

Plus de 75 000 pare-feu WatchGuard Firebox vulnérables à la CVE-2025-9242, dont 2000 en France [16]

Le 19 octobre 2025, les chercheurs de The Shadowserver Foundation ont publié une analyse révélant que près de 76 000 pare-feu WatchGuard Firebox demeurent exposés sur Internet et vulnérables à la faille critique répertoriée CVE-2025-9242 (cf. CXA-2025-5390). Cette vulnérabilité, désormais corrigée, permettait à un attaquant de corrompre la mémoire du processus iked afin d’exécuter du code arbitraire et ainsi prendre le contrôle du système. Le 16 octobre, elle a fait l’objet de la publication d’un PoC écrit par les chercheurs de WatchTowr se présentant sous la forme d’un programme Python (cf. CXA-2025-5974).

État-nation

Le cluster Lazarus observé ciblant des entreprises européennes liées à l’industrie de défense et à la fabrication de drones [17]

Le 23 octobre 2025, ESET a publié une analyse révélant une cyberattaque du groupe Lazarus contre plusieurs entreprises européennes de la défense, notamment trois sociétés d’Europe centrale et du Sud-Est spécialisées dans les drones, probablement par le biais de techniques d’ingénierie sociale reposant sur de fausses offres d’emploi. Cette campagne s’appuie sur le piratage de projets open-source GitHub pour introduire le malware ScoringMathTea, dont l’objectif principal était le vol d’informations techniques et de savoir-faire industriel. S’inscrivant dans la continuité de l’Opération Dreamjob observée depuis 2020, les attaques recensées reproduisent la kill chain classique associée à cette campagne, débutant par un accès initial obtenu au moyen de documents d’embauche falsifiés et de lecteurs PDF compromis (cf. CXN-2024-7226).

---

Références portail XMCO

[1]

• https://www.mongodb.com/docs/atlas/release-notes/sql/

[2]

• https://about.gitlab.com/releases/2025/10/22/patch-release-gitlab-18-5-1-released/

[3]

• https://confluence.atlassian.com/security/security-bulletin-october-21-2025-1652920034.html

[4]

• https://confluence.atlassian.com/security/security-bulletin-october-21-2025-1652920034.html
• https://jira.atlassian.com/browse/BAM-26217

[5]

• https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_21.html
• https://chromereleases.googleblog.com/2025/10/chrome-for-android-update_0101005581.html

[6]

• [https://chromereleases.googleblog.com/2025/10/early-stable-update-for-desktop.html](https://chromereleases.googleblog.com/2025/10/early-stable-update-for-desktop.html

[7]

• https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

[8]

• https://github.com/argoproj/argo-cd/releases/tag/v3.0.20
• https://github.com/argoproj/argo-cd/releases/tag/v3.1.9

[9]

• https://community.ui.com/releases/Security-Advisory-Bulletin-056-056/ce97352d-91cd-40a7-a2f4-2c73b3b30191

[10]

• https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX695405&articleURL=XenServer_Security_Update_for_CVE_2025_58147_and_CVE_2025_58148

[11]

• https://www.oracle.com/security-alerts/cpuoct2025.html
• https://www.oracle.com/security-alerts/cpuoct2025verbose.html

[12]

• https://slcyber.io/assetnote-security-research-center/why-nested-deserialization-is-still-harmful-magento-rce-cve-2025-54236/
• https://helpx.adobe.com/security/products/magento/apsb25-88.html

[13]

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-53770.yaml
• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-53771.yaml

[14]

• https://slcyber.io/assetnote-security-research-center/why-nested-deserialization-is-still-harmful-magento-rce-cve-2025-54236/
• https://sansec.io/research/sessionreaper-exploitation
• https://cwe.mitre.org/data/definitions/20.html

[15]

• https://www.darktrace.com/blog/salty-much-darktraces-view-on-a-recent-salt-typhoon-intrusion
• https://hackread.com/salt-typhoon-apt-telecom-energy-sectors-darktrace/
• https://securityaffairs.com/183653/apt/china-linked-salt-typhoon-breaches-european-telecom-via-citrix-exploit.html

[16]

• https://www.bleepingcomputer.com/news/security/over-75-000-watchguard-security-devices-vulnerable-to-critical-rce/
• https://x.com/Shadowserver/status/1979902019696509099

[17]

• https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/
• https://www.darkreading.com/cyberattacks-data-breaches/lazarus-group-hunts-european-drone-manufacturing-data