Résumé de la semaine #44 (du 27 au 31 octobre 2025)

Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par DotNetNuke pour Dnn.Platform [1], par FIT2CLOUD pour JumpServer [2], par Symantec pour Carbon Black EDR Server [3], par Mozilla pour Firefox [4], par Splunk pour Operator for Kubernetes Add-on [5] et AppDynamics Private Synthetic Agent [6], par Apache pour Tomcat [7] et par MongoDB pour BI Connector [8]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 5 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Windows Server Update Services [9]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-59287 affectant Windows Server Update Services a été publié. En incitant sa victime à ouvrir ce programme, un attaquant peut orchestrer quatre appels SOAP successifs vers des services WSUS pour récupérer des valeurs intermédiaires et soumettre une payload (EncryptedData). Cette dernière est chargée de provoquer une désérialisation d’un contenu contrôlé — conduisant potentiellement à une RCE. Le CERT-XMCO recommande l’application des correctifs disponibles via le mécanisme de mise à jour automatique pour Windows Server 2012, 2016, 2019, 2022, 2025.

Prise de contrôle du système via une vulnérabilité au sein d’Adobe Experience Manager Forms (APSB25-82) [10]

Un code d’exploitation tirant parti de la vulnérabilité CVE-2025-54253 affectant Adobe Experience Manager Forms a été publié. Une première requête HTTP est envoyée pour vérifier que la cible utilise bien AEM Forms en interrogeant la page de login et en recherchant le titre Adobe Experience Manager forms. Elle sert de reconnaissance pour confirmer la présence du produit vulnérable. La seconde requête envoie une payload malveillante au servlet GetDocumentServlet via le paramètre serDoc. Ce payload contient un objet Java sérialisé généré avec ysoserial utilisant la chaîne de gadgets CommonsBeanutils1. La payload exécute uniquement la commande pwd qui est inoffensive et ne fait qu’afficher le répertoire courant. La vulnérabilité est confirmée si le serveur retourne un code HTTP 200 et que le corps de la réponse contient l’exception InvocationTargetException. Le CERT-XMCO recommande l’installation de la version 6.5.0-0108 de Adobe Experience Manager (AEM) Forms sur JEE.

Élévation de privilèges et divulgation d’informations via une vulnérabilité au sein de Sitecore Experience Manager et Experience Platform [11]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-34509 affectant Sitecore Experience Manager et Experience Platform a été publié. Ce code effectue une requête HTTP POST vers l’endpoint /sitecore/api/ssc/auth/login en utilisant des identifiants codés en dur dans le système. Un attaquant pourrait ainsi accéder à des informations sensibles et élever ses privilèges. Le CERT-XMCO recommande l’installation des solutions temporaires suivantes de Sitecore : 9.0 – 9.3 et 10.0 – 10.4.

Contournement de sécurité et divulgation d’informations via une vulnérabilité au sein de produits WSO2 [12]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-5605 affectant WSO2 Management Console a été publié. En effectuant une requête GET vers le chemin /carbon/server-admin/memory_info.jsp;.jar, un attaquant ayant accès à la console peut manipuler une requête URI et obtenir un accès non autorisé à certaines ressources dans la Management Console, entraînant une divulgation partielle d’informations. Le CERT-XMCO recommande l’installation des versions corrigées pour API Control Plane, Enterprise Integrator, Identity Server as Key Manager, Open Banking AM, Open Banking IAM, Traffic Manager, Universal Gateway de WSO2 disponible ici.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Pulse Connect Secure [13]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2019-11507 affectant Pulse Connect Secure a été publié. En incitant sa victime à suivre un lien spécifiquement conçu, un attaquant pouvait forcer le navigateur de cette dernière à exécuter un code JavaScript malveillant. L’exploitation de cette vulnérabilité permettait de mener différentes attaques : récupération du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, voire redirection de l’utilisateur vers un site malveillant (par exemple, un site de phishing en affichant un faux formulaire destiné à voler identifiants et mots de passe). Le CERT-XMCO recommande l’installation des versions 8.3R7.1 et 9.0R3 de Pulse Connect Secure disponibles à l’adresse suivante : https://my.pulsesecure.net/.

Informations

Vulnérabilités exploitées

Exploitation de la CVE-2025-9491 affectant Windows dans une campagne d’espionnage ciblant plusieurs pays européens [14]

Le 30 octobre 2025, les chercheurs d’Arctic Wolf ont révélé une campagne de spearphishing ciblant la Hongrie, la Belgique et s’élargissant à d’autres pays européens, dont les Pays-Bas et l’Italie. L’opération réalisée par le groupe APT associé à la Chine, UNC6384, repose sur l’exploitation de la vulnérabilité publiée en mars 2025 et référencée CVE-2025-9491, affectant Microsoft Windows. L’objectif final était la collecte d’informations stratégiques via la distribution de PlugX, un Remote Access Trojan déjà utilisé par le groupe en Asie du Sud-Est (cf. CXN-2025-4914). À l’heure actuelle, Microsoft a indiqué aux chercheurs ayant découvert la CVE-2025-9491 qu’elle ne considérait pas cette faille comme une vulnérabilité et n’a donc pas publié de correctif. En outre, Arctic Wolf affirme que cette campagne ne se limiterait pas uniquement aux pays précédemment cités, et pourrait concerner des organisations diplomatiques d’autres pays européens.

Exploitation active de deux vulnérabilités référencées CVE-2025-6204 et CVE-2025-6205 affectant Dassault Systèmes [15]

Le 28 octobre 2025, l’agence américaine de cybersécurité (CISA) a signalé l’exploitation active de deux vulnérabilités, dont une critique, affectant la solution de gestion des opérations de production DELMIA Apriso développée par Dassault Systèmes. Corrigées le 4 aout 2025 et référencées CVE-2025-6205 et CVE-2025-6204, les failles de sécurité permettaient à un attaquant distant de respectivement élever ses privilèges et prendre le contrôle du système. Ces types de vulnérabilités peuvent être exploitées comme vecteur d’attaque par les acteurs de la menace en vue de compromettre la chaîne d’approvisionnement logicielle et collecter du renseignement stratégique à l’instar du groupe APT lié à la Chine UAT-6382 (cf. CXN-2025-2951).

Exploitation massive des vulnérabilités CVE-2024-9234, CVE-2024-9707 et CVE-2024-11972 affectant des plugins WordPress [16]

Le 23 octobre 2025, les chercheurs de Wordfence ont révélé une campagne d’attaque massive exploitant des vulnérabilités corrigées affectant les plugins GutenKit et Hunk Companion pour WordPress. Référencées CVE-2024-9234, CVE-2024-9707 et CVE-2024-11972, elles permettaient à un attaquant non authentifié d’installer et d’activer des plugins arbitraires résultants en l’exécution de code à distance si un autre plugin vulnérable est installé et activé. Bien que ces vulnérabilités aient été corrigées en 2024, les chercheurs ont recensé un peu moins de 9 millions de tentatives d’exploitation entre le 8 et 9 octobre. Dans ces conditions, il est fortement recommandé d’appliquer les mesures correctives proposées par l’éditeur ainsi que d’intégrer les IoCs et la règle de détection proposées.

La CVE-2025-2783 affectant Google Chrome aurait permis la diffusion du spyware commercial Dante par le cluster ForumTroll [17]

Le 27 octobre 2025, les chercheurs de Kaspersky ont publié une analyse révélant un lien étroit entre l’opération ForumTroll et le spyware commercial Dante, développé par Memento Labs (cf. CXN-2025-1621). L’opération ForumTroll ciblait principalement des organisations et individus russes et biélorusses à travers l’exploitation de la CVE-2025-2783 affectant Google Chrome dans le cadre d’une campagne de spearphishing, permettant une infection sans interaction complexe (cf. CXA-2025-1622). L’examen des artefacts et du code suggère une continuité technique avec Dante. La découverte d’un lien avéré entre l’opération ForumTroll et le spyware Dante de Memento Labs marque une nouvelle étape dans l’évolution des menaces liées à l’espionnage ciblé. L’intégration de techniques avancées d’obfuscation, de persistance et de chiffrement montre la capacité du groupe ForumTroll à s’approprier rapidement des outils commerciaux sophistiqués pour renforcer son arsenal.

---

Références portail XMCO

[1]

• https://github.com/dnnsoftware/Dnn.Platform/security/advisories/GHSA-3m8r-w7xg-jqvw
• https://github.com/dnnsoftware/Dnn.Platform/security/advisories/GHSA-hmvq-8p83-cq52
• https://github.com/dnnsoftware/Dnn.Platform/security/advisories/GHSA-2374-6cvw-qmx6

[2]

• https://github.com/jumpserver/jumpserver/security/advisories/GHSA-7893-256g-m822
• https://github.com/jumpserver/jumpserver/security/advisories/GHSA-6ghx-6vpv-3wg7

[3]

• https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36251

[4]

• https://www.mozilla.org/en-US/security/advisories/mfsa2025-86/

[5]

• https://advisory.splunk.com//advisories/SVD-2025-1011

[6]

• https://advisory.splunk.com/advisories/SVD-2025-1009

[7]

• https://tomcat.apache.org/security-11.html
• https://tomcat.apache.org/security-10.html
• https://tomcat.apache.org/security-9.html

[8]

• https://github.com/mongodb/mongo-bi-connector-odbc-driver/releases/tag/v1.4.7

[9]

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-59287.yaml

[10]

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-54253.yaml
• https://helpx.adobe.com/security/products/aem-forms/apsb25-82.html

[11]

• https://github.com/projectdiscovery/nuclei-templates/blob/b05a675732628ee06a78c3ef4b8665929067c1ad/http/cves/2025/CVE-2025-34509.yaml
• https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003667

[12]  

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-5605.yaml

[13]

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2019/CVE-2019-11507.yaml

[14]

• https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/
• https://www.zerodayinitiative.com/advisories/ZDI-CAN-25373/

[15]

• https://www.cisa.gov/news-events/alerts/2025/10/28/cisa-adds-two-known-exploited-vulnerabilities-catalog
• https://www.bleepingcomputer.com/news/security/cisa-warns-of-two-more-actively-exploited-dassault-vulnerabilities/

[16]

• https://www.wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities/
• https://www.bleepingcomputer.com/news/security/hackers-launch-mass-attacks-exploiting-outdated-wordpress-plugins/

[17]

• https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/
• https://www.bleepingcomputer.com/news/security/italian-spyware-vendor-linked-to-chrome-zero-day-attacks/
• https://www.darkreading.com/vulnerabilities-threats/memento-spyware-chrome-zero-day-attacks