Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.
Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.
CORRECTIFS
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre de son Patch Tuesday [1], pour Windows Admin Center [2] et Edge [3], par Atlassian pour Crowd [4], Confluence Data Center and Server [5], Fisheye/Crucible [6], Bamboo Data Center [7], Jira [8] et Bitbucket Data Center et Server [9], par Mozilla pour Thunderbird [10] et Firefox [11], par Google pour Chrome [12], par Gitlab [13], par Fortinet pour FortiSandbox [14], FortiVoice [15], FortiOS [16] et FortiWeb [17], par Adobe pour Acrobat [18], Experience Manager [19] et ColdFusion [20], par Ivanti pour Endpoint Manager [21], par SAP [22] et par Progress [23]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
CODES D’EXPLOITATION
Des codes d’exploitation ont été publiés cette semaine. Aucun correctif de sécurité n’est disponible à l’heure actuelle, le produit n’étant plus maintenu (EoF) depuis le 1er janvier 2025.
Prise de contrôle du système et manipulation de données via 3 vulnérabilités au sein d’Audiocodes [24]
Des codes d’exploitations tirant parti des vulnérabilités référencées CVE-2025-34328, CVE-2025-34329, CVE-2025-34330 et affectant Audiocodes ont été publiés. Leur exploitation permet de manipuler des données et d’exécuter du code arbitraire à distance. En envoyant une requête spécifiquement conçue vers le chemin utils/IVR/diagram/ajaxScript.php, un attaquant est en mesure d’exploiter la CVE-2025-34328 afin de téléverser un fichier sur le serveur. La CVE-2025-34329 provient quant à elle d’un manque d’authentification au sein du script ajaxBackupUploadFile.php. Ainsi en appelant cette fonction un attaquant est capable de réécrire le contenu d’un fichier de sauvegarde (backup). Il peut ainsi forcer Apache à exécuter le fichier fichier acces.log comme du code PHP. Il peut ainsi envoyer une requête invalide contenant du code php malveillant, qui sera stocké dans le fichier access.log. Cette requête sera exécutée en accédant à n’importe quelle page PHP du serveur. Enfin, la CVE-2025-34330 provient d’un manque d’authentification au sein du script ajaxPromptUploadFile.php. En envoyant une requête spécifiquement conçue, un attaquant est capable de téléverser un fichier au sein du dossier C:\F2MAdmin\tmp. Aucun correctif de sécurité n’est disponible à l’heure actuelle et le produit Audiocodes n’est plus maintenu (EoF) depuis le 1er janvier 2025.
Vulnérabilités exploitées
Exploitations malveillantes de la faille de sécurité CVE-2025-55182 (React2Shell) affectant React [25]
Le 4 décembre 2025, Amazon a publié un bulletin de sécurité signalant l’exploitation active de la faille de sécurité React2Shell affectant l’écosystème React 19 (cf. CXN-2025-7105). Référencée CVE-2025-55182 (et CVE-2025-66478 par Next.js), cette faille de désérialisation non sécurisée désormais corrigée permettait à un attaquant distant et non authentifié d’exécuter du code arbitraire. Le 6 décembre, la Shadowserver Foundation aurait signalé 77 664 adresses IP toujours vulnérables à la faille de sécurité React2Shell, dont plus de 5 000 seraient situées en France.
Exploitation d’une vulnérabilité non référencée permettant la prise de contrôle du système au sein de Gladinet CentreStack et Triofox [26]
Le 10 décembre 2025, les chercheurs de Huntress ont publié une analyse de l’exploitation d’une vulnérabilité non référencée affectant certains produits Gladinet CentreStack et Triofox. Celle-ci provient de l’usage d’une implémentation AES personnalisée reposant sur des clefs statiques intégrées en dur directement dans une DLL, exposition qui permet à un attaquant d’exécuter arbitrairement du code à distance après avoir extrait les clefs. Selon les chercheurs, neuf organisations ont déjà été ciblées.
Exploitation malveillante d’une faille de sécurité non corrigée affectant Gogs (CVE-2025-8110) [27]
Le 10 décembre 2025, les chercheurs de Wiz Research ont publié une analyse de la vulnérabilité zero-day CVE-2025-8110 affectant Gogs, service Git auto-hébergé servant d’alternative à GitLab ou GitHub, et ne bénéficiant à ce jour pas de mise à jour de sécurité (cf. CXA-2025-7248). Cette faille de sécurité repose sur un mécanisme de contournement de lien symbolique réexploitant la vulnérabilité RCE CVE-2024-55947 via l’API PutContents (cf. CXA-2024-7307). Elle affecte spécifiquement les instances pourvues d’utilisateurs authentifiés possédant les privilèges nécessaires à la création de dépôts. Plus de 700 instances exposées auraient à ce jour été compromises, parmi les 1400 recensées comme vulnérables à travers Shodan, dont certaines en France.
Le groupe de ransomware DeadLock exploite la vulnérabilité CVE-2024-51324 pour contourner des solutions EDR [28]
Le 9 décembre 2025, les chercheurs de Cisco Talos ont publié une analyse technique du mode opératoire employé par un affilié du groupe de ransomware DeadLock. Motivé par des objectifs financiers, ce cybercriminel s’est distingué par l’utilisation de tactiques, techniques et procédures sophistiquées incluant notamment le contournement de solutions EDR via l’exploitation de la vulnérabilité CVE-2024-51324. Cette faille de sécurité, affectant un driver Baidu Antivirus légitime nommé BdApiUtil.sys, permettait à un attaquant de mettre fin à un processus arbitraire en exécutant une attaque de type Bring Your Own Vulnerable Driver (BYOVD).
Trois nouvelles vulnérabilités affectant React, référencées CVE-2025-55184, CVE-2025-55183, CVE-2025-67779 ont été corrigées [29]
Le 11 décembre 2025, les équipes de React ont communiqué sur la publication d’une mise à jour corrective de 3 vulnérabilités supplémentaires au sein du protocole React Server Components (RSC). Les failles référencées CVE-2025-55183, CVE-2025-55184 et CVE-2025-67779 permettaient respectivement à un attaquant d’accéder à des informations sensibles et de provoquer des dénis de service. Découvertes lors de tests de sécurité menés sur les versions corrigées de la vulnérabilité critique React2Shell (CVE-2025-55182), ces 3 vulnérabilités exigent l’application de correctifs additionnels, sans remettre en cause l’efficacité du correctif initial contre React2Shell (cf. CXN-2025-7105, CXN-2025-7116). Ces failles de sécurité concernent en outre les environnements qui s’appuient sur React Server Components dont plusieurs versions intègrent les modules affectés, notamment Next.js.
Références portail XMCO
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/
[11]
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-93/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/
[12]
- https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html
- https://chromereleases.googleblog.com/2025/12/chrome-for-android-update_01357981936.html
[13]
[14]
- https://fortiguard.fortinet.com/psirt/FG-IR-25-477
- https://fortiguard.fortinet.com/psirt/FG-IR-25-454
- https://fortiguard.fortinet.com/psirt/FG-IR-25-479
[15]
- https://fortiguard.fortinet.com/psirt/FG-IR-25-812
- https://fortiguard.fortinet.com/psirt/FG-IR-25-362
[16]
[17]
- https://fortiguard.fortinet.com/psirt/FG-IR-25-984
- https://fortiguard.fortinet.com/psirt/FG-IR-25-945
[18]
[19]
[20]
[21]
[22]
[23]
- https://community.progress.com/s/article/Critical-Alert-December-2025
- https://community.progress.com/s/article/Sitefinity-Security-Advisory-for-Addressing-Security-Vulnerabilities-CVE-2025-66478-and-CVE-2025-55182-December-2025
[24]
[25]
- https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/
- https://www.cisa.gov/news-events/alerts/2025/12/05/cisa-adds-one-known-exploited-vulnerability-catalog
- https://www.bleepingcomputer.com/news/security/react2shell-flaw-exploited-to-breach-30-orgs-77k-ip-addresses-vulnerable/
- https://infosec.exchange/@shadowserver/115672050969855947
- https://www.greynoise.io/blog/cve-2025-55182-react2shell-opportunistic-exploitation-in-the-wild-what-the-greynoise-observation-grid-is-seeing-so-far
[26]
- https://www.huntress.com/blog/active-exploitation-gladinet-centrestack-triofox-insecure-cryptography-vulnerability
- https://www.bleepingcomputer.com/news/security/hackers-exploit-gladinet-centrestack-cryptographic-flaw-in-rce-attacks/
[27]
[28]
[29]
