Les vulnérabilités à suivre – 22 déc 2025

Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

L’écosystème du réseau Tor a fait l’objet d’un audit mené en octobre 2025 par une société de tests d’intrusion, qui a identifié six vulnérabilités et formulé onze recommandations de durcissement. Selon CyberInsider, la portée couvrait des composants variés comme TagTor, DescriptorParser, Margot, Exitmap, Tor_fusion, SBWS, ainsi que les implémentations Arti et Tor C. La faille la plus grave touche le module Sybil Hunter (Margot), dont la logique basée sur la similarité de chaînes entraîne à la fois des faux positifs et des contournements par des relais malveillants, compromettant la détection de clusters contrôlés par un même adversaire.

La vulnérabilité React2Shell est utilisée pour livrer des malwares Linux tels que KSwapDoor et ZnDoor, d’après The Hacker News. Un responsable de Palo Alto Networks Unit 42 décrit KSwapDoor comme un outil d’accès distant conçu pour la furtivité, capable de construire un réseau maillé interne entre serveurs compromis, chiffrer ses communications avec un chiffrement de niveau militaire et rester en « mode dormant » jusqu’à réception d’un signal invisible. Le malware a été repéré dans deux régions et deux secteurs distincts, où il se fait passer pour un processus légitime du noyau Linux, tout en offrant exécution de commandes, opérations sur fichiers et exploration latérale.

Hewlett Packard Enterprise a corrigé une vulnérabilité critique dans OneView, référencée CVE-2025-37164 et notée 10,0 sur l’échelle CVSS, qui permet l’exécution de code à distance par un attaquant non authentifié. Comme le détaille The Hacker News, toutes les versions antérieures à OneView 11.00 sont affectées, avec un correctif spécifique disponible pour les versions 5.20 à 10.20. Le correctif doit être réappliqué après certaines mises à jour ou après un reformatage HPE Synergy Composer.

Une nouvelle vulnérabilité UEFI expose certains modèles de cartes mères ASRock, ASUS, GIGABYTE et MSI à des attaques DMA (Direct Memory Access) en phase très précoce de démarrage, permettant à des périphériques PCIe malveillants d’accéder directement à la mémoire système. Selon SecurityAffairs, le problème vient d’implémentations UEFI qui déclarent à tort les protections DMA actives alors que l’IOMMU n’est pas correctement initialisé. Un avis du CERT/CC précise qu’un périphérique disposant d’un accès physique peut lire ou modifier la mémoire avant le chargement des défenses du système d’exploitation, facilitant l’injection de code pré-boot et l’exfiltration de données sensibles sur des systèmes utilisant un firmware non corrigé.

WatchGuard a publié des correctifs pour une faille critique de Fireware OS, exploitée dans des attaques réelles et suivie sous le CVE-2025-14733 avec un score CVSS de 9,3. D’après The Hacker News, il s’agit d’un dépassement d’écriture hors limites affectant le processus iked, permettant à un attaquant distant non authentifié d’exécuter du code arbitraire sur des configurations VPN IKEv2 mobiles ou de site à site.

Une vulnérabilité de concurrence critique a été identifiée dans le module Rust Binder du noyau Linux, sous le CVE-2025-68260, provoquant des corruptions mémoire internes et des plantages de système. Selon GBHackers, le problème est apparu dans la version 6.18 du noyau au sein du fichier node.rs. Le code déplace des éléments vers une liste locale après avoir relâché le verrou, créant une fenêtre de course sur les pointeurs prev/next.

Elastic a corrigé une vulnérabilité XSS critique dans Kibana, suivie comme CVE-2025-68385 et notée 7,2 en score CVSSv3.1, qui permet à des attaquants authentifiés d’injecter des scripts malveillants dans des pages consultées par d’autres utilisateurs. Comme le rapporte GBHackers, la faille touche l’implémentation de la fonctionnalité de visualisation Vega, où une neutralisation incorrecte des entrées permet de contourner des protections XSS antérieures.

Atlassian a publié des mises à jour de sécurité corrigeant des dizaines de vulnérabilités dans ses produits, dont une faille XML External Entity (XXE) maximale, CVE-2025-66516, affectant Apache Tika avec un score CVSS de 10,0. D’après SecurityAffairs, cette faille permet, via un fichier XFA malveillant intégré dans un PDF, de forcer Tika à traiter des entités XML externes dans les modules core, PDF et parsers, ouvrant l’accès à des ressources internes sensibles.

Des acteurs malveillants exploitent deux vulnérabilités critiques Fortinet, CVE-2025-59718 et CVE-2025-59719 (score CVSS 9,1), seulement quelques jours après la publication des correctifs, ciblant plusieurs produits quand FortiCloud SSO est activé. Selon SecurityAffairs, ces failles d’authentification reposent sur une vérification incorrecte des signatures cryptographiques dans FortiOS, FortiWeb, FortiProxy et FortiSwitchManager, permettant de contourner la connexion SSO via un message SAML forgé.