Bulletin du 13 juin 2025

Deux nouvelles vulnérabilités : Wazhu et WebDAV référencées par la CISA

La CISA a ajouté deux nouvelles vulnérabilités exploité à son catalogue Known Exploited Vulnerabilities (KEV) :

•  CVE-2025-24016, (Wazhu) : Une désérialisation non sécurisée dans le module as_wazuh_object, situé dans framework/wazuh/core/cluster/common.py, peut permettre à un attaquant authentifié via l’API, en forgeant une requête spécialement conçue contenant __unhandled_exc__, entraînant l'exécution du code.
• CVE-2025-33053  (WebDAV) : Un attaquant peut accéder à ou modifier un fichier, lui permettant d'exécuter du code à distance.

Publication du Patch Tuesday de juin 2025 par Microsoft : 2 jour-0 et 10 failles critiques

Comme à son habitude, Microsoft vient de publier et commencer la diffusion du correctif cumulatif pour juin 2025. Il corrige un ensemble de 66 vulnérabilités dont 2 jour-0 dont une activement exploitée et 10 critiques :

• CVE-2025-33053 (exploitée) : Exécution de code arbitraire à distance via WEBDAV. L'utilisateur doit cliquer sur un lien WebDav pour exploiter la vulnérabilité.
• CVE-2025-33073 : Une mauvaise gestion des contrôles d'accès permet à un attaquant authentifié de faire une élévation de privilèges (droits SYSTEM) au travers du réseau.

Mise à jour de sécurité pour GitLab CE et EE

GitLab vient de publier des nouvelles versions corrigeant un ensemble de 10 vulnérabilités, dont 4 ayant une sévérité haute :

• CVE-2025-4278 : injection de code HTML concernant la page de recherche dans GitLab CE/EE permettant de prendre le contrôle d'un compte utilisateur par un attaquant.
• CVE-2025-2254 : injection de code script (XSS) au sujet du visualiseur de code (snippet viewer) permet à un attaquant l'exécution de ce code avec les privilèges de l'utilisateur courant dans GitLab CE/EE.
• CVE-2025-5121 : Seulement dans GitLab Ultimate EE, un attaquant ayant une licence attribuée peut injecter une tâche malicieuse (job) dans tous les processus futurs de CI/CD (pipelines)
• CVE-2025-0673 : boucle infinie de redirection pouvant causer un épuisement de la mémoire du serveur, et rendre l'accès impossible sur GitLab CE/EE.

EchoLeak : première vulnérabilité 0-click permettant l'exfiltration de données depuis Microsoft 365 Copilot

L'équipe de Aim Labs Teams a fait part de leur découverte un moyen (CVE-2025-32711), sans interaction de la part de la cible, de récupérer des données sensibles depuis Microsoft 365 Copilot. Microsoft a été prévenu et l'attaque a été entièrement mitigée. L'attaque consistait à l'envoi d'un mail à la cible contenant une injection de prompt caché contournant la protection en place. Ensuite, lorsque l'utilisateur effectue une demande à Copilot, celui-ci va alors insérer des données sensibles dans des liens ou images (automatiquement chargée lors du rendu) vers un domaine contrôlé par les attaquants. Cela leur permet d'avoir ensuite accès aux données. Des domaines Teams et SahrePoint ont été utilisés pour contourner la politique CSP mise en place par Microsoft.

Vulnérabilité DoS sur les switches Moxa PT-G7728/PT-G7828 (CVE-2024-9404)

Une vulnérabilité de type déni de service (DoS), référencée CVE-2024-9404, a été identifiée dans les switches industriels Moxa PT-G7728 et PT-G7828. L’exploitation de cette faille permettrait à un attaquant non authentifié, via des paquets spécialement conçus, de provoquer le redémarrage des équipements, affectant leur disponibilité.

Cette vulnérabilité est liée à un défaut dans le traitement de paquets spécifiques sur le port UDP 161 (SNMP), accessible à distance si exposé.

Matériel concerné :

• PT-G7728 et PT-G7828, toutes versions antérieures au firmware 5.8.

Note du CERT illicium : Restreindre l’accès réseau aux ports SNMP via segmentation ou firewall, spécialement depuis un réseau de niveau de sécurité inférieur.

Faille de sécurité touchant GlobalProtect

Palo Alto a publié un nouveau bulletin de sécurité concernant leur produit GlobalProtect sur macOS contenant une vulnérabilité référencée CVE-2025-4232. Un attaquant authentifié sans droit administrateur peut réaliser une escalade de privilèges en récupérant les droits root en exploitant une mauvaise neutralisation des caractères dans la collecte des logs.

La vulnérabilité concerne uniquement les systèmes macOS. Elle affecte GlobalProtect App 6.3 pour toutes les versions inférieures à 6.3.3 (corrigée à partir de 6.3.3), GlobalProtect App 6.2 pour toutes les versions inférieures à 6.2.8-h2 (corrigée en 6.2.8-h2). Toutes les versions des branches 6.1 et 6.0 sont vulnérables et aucune correction n’est disponible à ce jour.

Contournement de la sécurité sur une terminaison API de Kibana

Elastic vient de publier une nouvelle version de son outil de tableau de bord : Kibana 8.12.1. Elle corrige une faille dans les autorisations concernant la terminaison API Synthetic (CVE-2024-43706). Elle permet à un attaquant de contourner la sécurité et ainsi, y avoir accès. Il est également possible de désactiver la terminaison si elle n'est pas utilisée via le paramètre xpack.uptime.enabled: false dans le fichier kibana.yml.

Consultation publique sur les pixels de suivi

La CNIL a ouvert une consultation publique sur son projet de recommandation concernant les pixels de suivi.

L’objectif de cette recommandation est de recueillir les différentes contributions des acteurs concernés. La CNIL examinera ensuite ces contributions et adoptera une version définitive de la recommandation. La consultation prendra fin le 24 juillet 2025.

Le projet de recommandation s’adresse à tous les organismes, publics ou privés, qui utilisent des pixels de suivi dans leurs courriels, ainsi qu’aux prestataires techniques auxquels ils peuvent faire appel. Il ne concerne que l’usage de ces pixels dans les courriels, et non sur le web.