Le catalogue de vulnérabilités exploitées connues (KEV) de CISA a augmenté de 20 % en 2025, dont 24 vulnérabilités exploitées par des groupes de ransomwares.
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté 245 vulnérabilités à son catalogue de vulnérabilités exploitées connues (KEV) en 2025, la base de données s'élevant à 1 484 failles logicielles et matérielles présentant un risque élevé de cyberattaques.
L'agence a supprimé au moins une vulnérabilité du catalogue en 2025 (CVE-2025-6264, une vulnérabilité d'autorisations par défaut incorrectes du Velociraptor qui, selon la CISA, ne présentait pas de preuves suffisantes d'exploitation), mais la base de données dans son ensemble a connu une croissance constante depuis sa publication en novembre 2021.
Après une première augmentation des vulnérabilités ajoutées après la première publication de la base de données, la croissance s'est stabilisée en 2023 et 2024, avec 187 vulnérabilités ajoutées en 2023 et 185 en 2024.
Cependant, la croissance s’est accélérée en 2025, lorsque CISA a ajouté 245 vulnérabilités au catalogue KEV, soit une augmentation de plus de 30 % par rapport à la tendance observée en 2023 et 2024. Avec l’émergence de nouvelles vulnérabilités ces dernières semaines, la tendance à une forte exploitation pourrait bien se poursuivre jusqu’en 2026.
Dans l’ensemble, les vulnérabilités CISA KEV sont passées de 1 239 vulnérabilités fin 2024 à 1 484 fin 2025, soit une augmentation d’un peu moins de 20 %.
Nous examinerons certaines des tendances et vulnérabilités de 2025, y compris 24 vulnérabilités connues pour être exploitées par des groupes de ransomwares, ainsi que les fournisseurs et les projets pour lesquels le plus de CVE ont été ajoutés à la liste cette année.
Les vulnérabilités plus anciennes ajoutées à CISA KEV ont également augmenté
L'ajout d'anciennes vulnérabilités au catalogue KEV de CISA a également augmenté en 2025. En 2023 et 2024, entre 60 et 70 anciennes vulnérabilités ont été ajoutées au catalogue KEV chaque année. En 2025, le nombre de vulnérabilités ajoutées au catalogue à partir de 2024 et avant est passé à 94, soit une augmentation de 34 % par rapport à l’année précédente.
La vulnérabilité la plus ancienne ajoutée au catalogue KEV en 2025 était CVE-2007-0671, une vulnérabilité d'exécution de code à distance de Microsoft Office Excel.
La vulnérabilité la plus ancienne du catalogue date de 2002 : CVE-2002-0367, une vulnérabilité d'élévation de privilèges dans le sous-système de débogage smss.exe de Windows NT et Windows 2000, connue pour être utilisée dans les attaques de ransomwares.
Vulnérabilités utilisées dans les attaques de ransomware
La CISA a signalé 24 des vulnérabilités ajoutées en 2025 comme étant connues pour être exploitées par des groupes de ransomwares. Ils incluent certaines failles connues telles que CVE-2025-5777 (appelée « CitrixBleed 2 ») et les vulnérabilités Oracle E-Business Suite exploitées par le groupe de ransomwares CL0P.
La liste complète des vulnérabilités récemment exploitées par les groupes de ransomwares en 2025 est incluse ci-dessous et devraient être priorisées par les équipes de sécurité si elles ne sont pas déjà corrigées.
| Vulnérabilités exploitées par les groupes de ransomwares | |
| CVE-2025-5777 | Citrix NetScaler ADC et Gateway hors limites en lecture |
| CVE-2025-31161 | Contournement de l'authentification CrushFTP |
| CVE-2019-6693 | Utilisation d'informations d'identification cryptées dans Fortinet FortiOS |
| CVE-2025-24472 | Contournement de l'authentification Fortinet FortiOS et FortiProxy |
| CVE-2024-55591 | Contournement de l'authentification Fortinet FortiOS et FortiProxy |
| CVE-2025-10035 | Désérialisation de données non fiables Fortra GoAnywhere MFT |
| CVE-2025-22457 | Dépassement de tampon basé sur la pile des passerelles Ivanti Connect Secure, Policy Secure et ZTA |
| CVE-2025-0282 | Dépassement de tampon basé sur la pile des passerelles Ivanti Connect Secure, Policy Secure et ZTA |
| CVE-2025-55182 | Exécution de code à distance des composants du serveur Meta React |
| CVE-2025-49704 | Injection de code Microsoft SharePoint |
| CVE-2025-49706 | Authentification incorrecte de Microsoft SharePoint |
| CVE-2025-53770 | Désérialisation Microsoft SharePoint des données non fiables |
| CVE-2025-29824 | Utilisation après la sortie du pilote CLFS (Common Log File System) de Microsoft Windows |
| CVE-2025-26633 | Désactivation incorrecte de la console de gestion Microsoft Windows (MMC) |
| CVE-2018-8639 | Arrêt ou lancement incorrect des ressources Microsoft Windows Win32k |
| CVE-2024-55550 | Visite guidée de l'itinéraire Mitel MiCollab |
| CVE-2024-41713 | Visite guidée de l'itinéraire Mitel MiCollab |
| CVE-2025-61884 | Falsification de requêtes côté serveur Oracle E-Business Suite (SSRF) |
| CVE-2025-61882 | Oracle E-Business Suite non spécifié |
| CVE-2023-48365 | Tunnel HTTP Qlik Sense |
| CVE-2025-31324 | Téléchargement de fichiers sans restriction SAP NetWeaver |
| CVE-2024-57727 | Visite guidée simple de l'itinéraire d'aide |
| CVE-2024-53704 | Authentification incorrecte SonicWall SonicOS SSLVPN |
| CVE-2025-23006 | Désérialisation des appareils SonicWall SMA1000 |
Projets et fournisseurs présentant le plus grand nombre de vulnérabilités exploitées
Microsoft est une fois de plus en tête de tous les fournisseurs et projets dans les ajouts de CISA KEV, avec 39 vulnérabilités ajoutées à la base de données en 2025, contre 36 en 2024.
Plusieurs fournisseurs et projets ont vu moins de vulnérabilités ajoutées en 2025 qu’en 2024, ce qui suggère des contrôles de sécurité améliorés. Les fournisseurs et projets qui ont vu une diminution des vulnérabilités KEV en 2025 incluent Adobe, Android, Apache, Ivanti, Palo Alto Networks et VMware.
11 fournisseurs et projets ont vu cinq vulnérabilités KEV ou plus ajoutées cette année, qui sont incluses ci-dessous.
| Fournisseur/projet | Ajouts de CISA KEV en 2025 |
| Microsoft | 39 |
| Pomme | 9 |
| cisco | 8 |
| Fortinet | 8 |
| Google Chrome | 7 |
| Ivanti | 7 |
| Noyau Linux | 7 |
| Citrix | 5 |
| Lien D | 5 |
| Oracle | 5 |
| Mur sonique | 5 |
Faiblesses logicielles les plus courantes exploitées en 2025
Huit faiblesses logicielles et matérielles (Common Weaknesses Enumeration, ou CWE) étaient particulièrement importantes parmi les ajouts de 2025 KEV. La liste est similaire à celle de l'année dernière, bien que CWE-787, CWE-79 et CWE-94 soient nouveaux sur la liste de cette année.
- CWE-78 (Inadequate Neutralization of Special Elements Used in an Operating System Command (« OS Command Injection »)) était encore une fois la faiblesse la plus courante parmi les vulnérabilités ajoutées à la base de données KEV, représentant 18 des 245 vulnérabilités ajoutées en 2025.
- CWE-502 (Untrusted Data Deserialization) arrive à nouveau en deuxième position, se produisant dans 14 des vulnérabilités.
- CWE-22 – Limitation inappropriée d'un nom de chemin vers un répertoire restreint, ou « Path Traversal » – s'est hissé à la troisième place avec 13 occurrences.
- CWE-416 – Use After Free – a chuté d’une place à la quatrième place et était derrière 11 des vulnérabilités.
- CWE-787 (écriture hors limites) était un facteur dans 10 des vulnérabilités.
- CWE-79 – Cross Site Scripting – est apparu 7 fois.
- CWE-94 (injection de code) et CWE-287 (authentification incorrecte) se sont produits 6 fois chacun.
Conclusion
Le catalogue de vulnérabilités exploitées connues de CISA continue d'être un outil précieux pour aider les équipes de sécurité informatique à prioriser les efforts de gestion des vulnérabilités et des correctifs.
Le catalogue CISA KEV peut également alerter les organisations sur les risques liés aux tiers, même si lorsqu'une vulnérabilité est ajoutée à la base de données, cela devient un problème urgent qui nécessite une attention immédiate. Les solutions de gestion des risques tiers (TPRM) pourraient fournir des alertes précoces sur les risques associés aux partenaires grâce à des audits et d'autres outils.
Enfin, les équipes de développement de logiciels et d’applications doivent surveiller les ajouts de CISA KEV pour détecter les faiblesses logicielles courantes que les acteurs malveillants ciblent régulièrement.
Prenez le contrôle de votre risque de vulnérabilité dès aujourd’hui – réservez une démo personnalisée pour voir l’impact de CISA KEV sur votre organisation.