Les vulnérabilités de Microsoft, Adobe et Fortinet ont été parmi celles qui ont attiré l'attention au cours d'une semaine record pour de nouvelles failles.
Les chercheurs de Cyble Vulnerability Intelligence ont suivi 2 415 vulnérabilités au cours de la semaine dernière, soit une augmentation significative par rapport au nombre très élevé de nouvelles vulnérabilités de la semaine dernière. Cette augmentation indique un paysage de risques élevés et une surface d’attaque croissante dans l’environnement de menace actuel.
Plus de 300 des vulnérabilités divulguées ont déjà une preuve de concept (PoC) accessible au public, ce qui augmente considérablement la probabilité d'attaques réelles.
Au total, 219 vulnérabilités ont été classées comme critiques sur la base du système de notation CVSS v3.1, tandis que 47 ont reçu une cote de gravité critique basée sur le nouveau système de notation CVSS v4.0.
Même après avoir exclu un grand nombre de vulnérabilités du noyau Linux et Adobe (graphique ci-dessous), les nouvelles vulnérabilités signalées la semaine dernière restaient très nombreuses.
Voici quelques-unes des vulnérabilités informatiques et ICS signalées par les chercheurs de Cyble en matière de renseignements sur les menaces dans de récents rapports clients couvrant la période du 9 au 16 décembre.
Principales vulnérabilités informatiques de la semaine
CVE-2025-59385 est une vulnérabilité de contournement d'authentification de haute gravité qui affecte plusieurs versions des systèmes d'exploitation QNAP, notamment QTS et QuTS hero. Les versions corrigées incluent QTS 5.2.7.3297 build 20251024 et versions ultérieures, QuTS hero h5.2.7.3297 build 20251024 et versions ultérieures, et QuTS hero h5.3.1.3292 build 20251024 et versions ultérieures.
CVE-2025-66430 est une vulnérabilité critique dans Plesk 18.0, affectant spécifiquement la fonctionnalité Répertoires protégés par mot de passe. Cela est dû à un contrôle d'accès inadéquat, qui permet potentiellement aux attaquants de contourner les mécanismes de sécurité et d'élever les privilèges jusqu'à un accès au niveau racine sur les serveurs Plesk pour Linux concernés.
CVE-2025-64537 est une vulnérabilité critique de script intersite (XSS) basée sur DOM affectant Adobe Experience Manager. Cette vulnérabilité pourrait permettre aux attaquants d'injecter des scripts malveillants dans des pages Web, qui seraient ensuite exécutés dans le contexte du navigateur de la victime, conduisant potentiellement à un piratage de session, un vol de données ou une exploitation supplémentaire.
CVE-2025-43529 est une vulnérabilité critique d'utilisation après libération dans le moteur de navigateur WebKit d'Apple, utilisé dans Safari et d'autres applications Apple. La faille pourrait permettre aux attaquants d'exécuter du code arbitraire sur les appareils concernés en incitant les utilisateurs à traiter du contenu Web malveillant, ce qui pourrait complètement compromettre l'appareil. CISA a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV).
CVE-2025-59718 est une vulnérabilité critique de contournement d'authentification qui affecte plusieurs versions des produits Fortinet, notamment FortiOS, FortiProxy, FortiSwitchManager et FortiWeb. La faille pourrait permettre à des attaquants non authentifiés de contourner l'authentification de connexion unique (SSO) de FortiCloud en envoyant un message SAML spécialement conçu. La vulnérabilité a été ajoutée au catalogue KEV de CISA.
Les vulnérabilités notables discutées dans les communautés open source comprenaient CVE-2025-55182, une vulnérabilité critique d'exécution de code à distance (RCE) non authentifiée affectant les composants du serveur React ; CVE-2025-14174, une vulnérabilité critique de corruption de mémoire affectant le moteur de navigateur WebKit d'Apple ; et CVE-2025-62221, une vulnérabilité d'élévation de privilèges d'utilisation après libération de haute gravité dans le pilote Windows Cloud File Minifilter.
Vulnérabilités discutées sur le Dark Web
Les chercheurs du Cyble Research and Intelligence Labs (CRIL) ont également observé plusieurs acteurs de la menace discutant des vulnérabilités de l’armement sur les forums du Dark Web. Parmi les vulnérabilités en discussion figuraient :
CVE-2025-55315, une vulnérabilité de gravité critique classée comme contrebande de requêtes/réponses HTTP en raison d'une interprétation incohérente des requêtes HTTP dans ASP.NET Core, en particulier dans le composant serveur Kestrel. La faille provient de la façon dont les extensions de fragment dans Transfer-Encoding : ASP.NET Core traitent différemment les requêtes fragmentées avec des fins de ligne non valides par rapport aux proxys en amont, permettant aux attaquants de faire passer clandestinement des requêtes malveillantes. Un attaquant autorisé peut exploiter cette vulnérabilité sur un réseau pour contourner les contrôles de sécurité, entraînant des impacts tels qu'une élévation de privilèges, un contournement SSRF, CSRF, un détournement de session ou l'exécution de code, en fonction de la logique de l'application.
CVE-2025-59287 est une vulnérabilité d'exécution de code à distance (RCE) de gravité critique résultant d'une désérialisation inappropriée de données non fiables dans Microsoft Windows Server Update Services (WSUS). La faille principale se produit dans le composant ClientWebService, où une requête SOAP spécialement conçue adressée à des points de terminaison tels que SyncUpdates déclenche le déchiffrement et la désérialisation non sécurisés d'un objet AuthorizationCookie à l'aide du BinaryFormatter de .NET, permettant l'exécution de code arbitraire avec les privilèges SYSTEM. Des attaquants distants non authentifiés peuvent exploiter cela via les ports WSUS (par exemple 8530/8531) pour déployer des webshells ou assurer la persistance, une exploitation dans le monde réel ayant déjà été observée.
CVE-2025-59719, une vulnérabilité de gravité critique due à une vérification inadéquate de la signature cryptographique, permet de contourner l'authentification dans Fortinet FortiWeb via FortiCloud SSO. Les attaquants peuvent envoyer des messages de réponse SAML contrefaits pour contourner les contrôles de connexion sans authentification appropriée. Cette faille non authentifiée a un impact important et a été activement exploitée après sa divulgation.
Vulnérabilités ICS
Cyble a également signalé deux vulnérabilités du système de contrôle industriel (ICS) comme méritant une attention hautement prioritaire de la part des équipes de sécurité. Ils comprennent :
CVE-2024-3596 : Plusieurs versions des produits des séries Hitachi Energy AFS, AFR et AFF sont affectées par une vulnérabilité du protocole RADIUS, une application inappropriée de l'intégrité des messages lors de la transmission sur un canal de communication. Une exploitation réussie de la vulnérabilité pourrait compromettre l'intégrité des données du produit et perturber sa disponibilité.
CVE-2025-13970 : Les versions d'OpenPLC_V3 antérieures à la Pull Request #310 sont vulnérables à cette faille CSRF (Cross-Site Request Forgery). L'exploitation réussie de la vulnérabilité pourrait entraîner une modification de la configuration de l'automate ou le chargement de programmes malveillants.
Conclusion
Le nombre record de nouvelles vulnérabilités observées par Cyble la semaine dernière souligne la nécessité pour les équipes de sécurité de réagir par des actions rapides et bien ciblées pour corriger les vulnérabilités les plus critiques et défendre avec succès l'informatique et les infrastructures critiques. Un programme de gestion des vulnérabilités basé sur les risques devrait être au centre de ces efforts défensifs.
Parmi les autres bonnes pratiques de cybersécurité qui peuvent aider à se protéger contre un large éventail de menaces, citons la segmentation des actifs critiques ; supprimer ou protéger les actifs du Web ; Principes d'accès Zero Trust ; sauvegardes résistantes aux ransomwares ; points de terminaison, infrastructures et configurations renforcés ; surveillance du réseau, des points finaux et du cloud ; et des plans de réponse aux incidents bien rodés.
Les solutions complètes de gestion de la surface d'attaque de Cyble peuvent aider en analysant les actifs du réseau et du cloud à la recherche d'expositions et en priorisant les mesures correctives, ainsi qu'en surveillant les fuites d'informations d'identification et d'autres signes avant-coureurs de cyberattaques majeures.