Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.
Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.
CORRECTIFS
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par F5 pour BIG-IP [1], par Android [2], par Splunk pour Enterprise [3], pour MCP Server [4] et pour Cloud Platform, Secure Gateway et Enterprise [5], par Google pour Chrome [6] et enfin par Docker pour Engine [7]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
CODES D’EXPLOITATION
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Manipulation de données via une vulnérabilité au sein de Django [8]
Un code d’exploitation tirant parti de la vulnérabilité CVE-2025-64459 affectant Django a été publié. Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exploitant cette faille, un attaquant distant et non authentifié était en mesure de récupérer le token CSRF via une requête GET, puis d’envoyer une requête POST pour établir un comportement de référence et de parser la réponse HTML pour extraire la requête SQL exécutée ainsi que la liste des utilisateurs. L’attaquant pouvait alors injecter des charges malveillantes et accéder à des données sensibles, voire les altérer. Le CERT-XMCO recommande l’installation de l’une des versions suivantes de Django : Django 5.2.8 (Tarball| Checksums), Django 5.1.14 (Tarball |Checksums) ou Django 4.2.26 (Tarball |Checksums).
Vulnérabilités exploitées
Publication d’un correctif pour la vulnérabilité CVE-2025-55182 (React2Shell) affectant React [9]
Le 3 décembre 2025, l’éditeur de React a révélé une vulnérabilité critique touchant l’écosystème React 19, spécifiquement le protocole Flight des React Server Components (RSC). Répertoriée sous l’identifiant CVE-2025-55182 et évaluée à 10,0 sur l’échelle CVSS, cette faille de désérialisation non sécurisée désormais corrigée permettait à un attaquant distant et non authentifié d’exécuter du code arbitraire. Cette vulnérabilité, également connue sous le nom de React2Shell, concerne en outre les environnements qui s’appuient sur React Server Components dont plusieurs versions intègrent les modules affectés, notamment Next.js. La vulnérabilité réside dans la manière dont le module react‑server traite les payloads du protocole RSC : les données reçues ne sont pas correctement validées, ce qui autorise l’injection de contenu malveillant et la modification du flux logique du programme. Ce défaut affecte directement la configuration par défaut de nombreuses applications basées sur React, ce qui accroît considérablement l’exposition des systèmes.
Exploitation de la CVE-2025-80880 affectant WinRAR par le groupe APT russe Gamaredon pour distribuer GamaWiper [10]
Le 30 novembre 2025, les chercheurs de ClearSky ont dévoilé une campagne de sabotage attribuée au groupe APT russe Gamaredon, exploitant une vulnérabilité de WinRAR pour déployer un nouveau wiper baptisé GamaWiper. Bien que référencée sous CVE-2025-80880, aucune information technique n’a été publiée par l’éditeur RARLAB concernant cette faille. Celle-ci aurait été exploitée pour cibler des entités ukrainiennes relevant du gouvernement central, du ministère de la Défense et des forces de l’ordre.
Le groupe APT chinois WARP PANDA exploite des vulnérabilités affectant F5, Ivanti et VMware pour distribuer la backdoor BRICKSTORM [11]
Le 4 décembre 2025, la CISA et les chercheurs de CrowdStrike ont dévoilé plusieurs campagnes d’espionnage menées par un nouveau groupe APT, lié à la Chine, nommé WARP PANDA. Ce groupe a ciblé plusieurs secteurs aux États-Unis, notamment les technologies de l’information, le conseil juridique, la fabrication et les administrations centrales. L’objectif de l’opération était d’installer la backdoor BRICKSTORM afin de maintenir un accès persistant à long terme. Pour y parvenir, les attaquants ont exploité plusieurs vulnérabilités corrigées, affectant la plateforme de gestion des environnements VMware vCenter (CVE-2024-38812, CVE-2023-34048, CVE-2021-22005), la solution VPN Ivanti Connect Secure (CVE-2024-21887, CVE-2023-46805), ainsi que le contrôleur de gestion du trafic réseau F5 BIG-IP (CVE-2023-46747).
France
Compromission affectant 1,6 million de jeunes suivis par le réseau des Missions Locales de France Travail [12]
Le 1er décembre 2025, France Travail a publié sur son site un communiqué déclarant que les données personnelles d’1,6 millions de jeunes suivis par le réseau des Missions Locales avaient été consultées par un acteur de la menace à la suite de la compromission d’un compte de responsable gestion de compte (RGC). En exploitant les droits de ce compte, l’attaquant a créé deux comptes supplémentaires via le service ProConnect, offrant un accès aux outils métiers et aux dossiers des jeunes concernés. Les trois comptes ont été rapidement suspendus et les réseaux appellent à la vigilance face aux risques accrus de fraude.
Reporters sans frontières victime d’une campagne de spearphishing d’APT29 [13]
Le 3 décembre 2025, les chercheurs de Sekoia ont publié une analyse d’une campagne de spearphishing ciblant l’ONG française Reporters sans frontières (RSF), attribuée au cluster russe APT29 (Calisto, Midnight Blizzard). Ce groupe d’attaquants sophistiqué est publiquement associé au Service de renseignement extérieur de la Russie (SVR). Les attaquants ont utilisé des adresses e‑mails frauduleuses usurpant l’identité de contacts légitimes au sein de l’ONG afin de pousser les victimes à ouvrir des documents piégés et à visiter des pages web compromises.
Campagne de déni de service à grande échelle menée par NoName057(16) visant la France [14]
Le 1er décembre 2025, le groupe hacktiviste pro-russe NoName057(16) a lancé une vaste campagne d’attaques par déni de service (DDoS) ciblant plusieurs entités françaises dans les secteurs des administrations centrales et locales, des transports, notamment aériens, des assurances, de l’énergie et de la logistique. Cette opération a été menée en réponse à la signature par le président français Emmanuel Macron d’une lettre d’intention le 17 décembre, portant sur la vente de divers armements, dont des Rafale, à l’Ukraine. La campagne, toujours en cours à l’heure actuelle, revendique plus de 30 victimes ayant subi des attaques par déni de service.
Cybercriminel
ShadyPanda détourne des extensions Chrome et Edge pour infecter 4,3 millions de navigateurs [15]
Le 1er décembre 2025, les chercheurs de Koi Security ont publié une analyse de la campagne d’extensions malveillantes ShadyPanda, active depuis sept ans et ayant compromis au moins 4,3 millions de navigateurs Chrome et Edge. Les attaquants ont progressivement fait évoluer leurs extensions de simples fraudes d’affiliation vers des capacités avancées d’espionnage et de backdoor RCE, en visant d’abord des sites e‑commerce puis l’ensemble de la navigation web. Profitant du modèle de confiance des marketplaces, ShadyPanda a bâti une base massive d’utilisateurs avant de pousser des mises à jour silencieuses qui transforment des outils de productivité en plateformes de surveillance et de contrôle à large échelle.
Références portail XMCO
[1]
[2]
[3]
- https://advisory.splunk.com//advisories/SVD-2025-1209
- https://advisory.splunk.com//advisories/SVD-2025-1206
- https://advisory.splunk.com//advisories/SVD-2025-1205
[4]
[5]
- https://advisory.splunk.com//advisories/SVD-2025-1202
- https://advisory.splunk.com//advisories/SVD-2025-1204
- https://advisory.splunk.com//advisories/SVD-2025-1203
- https://advisory.splunk.com//advisories/SVD-2025-1201
[6]
- https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop.html
- https://chromereleases.googleblog.com/2025/12/chrome-for-android-update.html
[7]
[8]
- https://www.exploit-db.com/exploits/52456
- https://www.djangoproject.com/weblog/2025/nov/05/security-releases/
[9]
- https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
- https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
- https://nvd.nist.gov/vuln/detail/CVE-2025-55182
- https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-55182.yaml
[10]
[11]
- https://www.cisa.gov/news-events/alerts/2025/12/04/prc-state-sponsored-actors-use-brickstorm-malware-across-public-sector-and-information-technology
- https://www.cisa.gov/news-events/analysis-reports/ar25-338a
- https://www.crowdstrike.com/en-us/blog/warp-panda-cloud-threats/
- https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/
[12]
- https://www.francetravail.org/accueil/communiques/2025/le-reseau-des-missions-locales-et-france-travail-appellent-a-la-vigilance-apres-un-acte-de-cyber-malveillance.html?type=article
- https://www.leparisien.fr/economie/emploi/france-travail-les-donnees-d16-million-de-jeunes-suivis-par-des-missions-locales-susceptibles-detre-divulguees-01-12-2025-2B3KNTGV6FGLBMF4NLPAMGVVL4.php
- https://www.ransomware.live/id/RnJhbmNlIHRlcnJlIGQnYXNpbGVAcWlsaW4=
[13]
[14]
- https://x.com/Noname05716/status/1995388412728373565
- https://x.com/Noname05716/status/1995395439504523328
- https://x.com/Noname05716/status/1995753676833435677
- https://x.com/Noname05716/status/1995765597792096561
- https://x.com/Noname05716/status/1996115981479850057
- https://x.com/Noname05716/status/1996127893899149797
- https://www.elysee.fr/emmanuel-macron/2025/12/01/visite-de-volodymyr-zelensky-president-de-lukraine-et-olena-zelenska-premiere-dame-de-lukraine-a-paris
- https://www.reuters.com/business/aerospace-defense/zelenskiy-france-seal-air-defence-warplane-deals-2025-11-17/
- https://www.lemonde.fr/international/article/2025/11/17/guerre-en-ukraine-la-promesse-de-vente-de-rafale-a-kiev-une-annonce-forte-au-financement-tres-incertain_6653739_3210.html
[15]
