Référence

• Date de création : 13 mai 2025
  
• Auteur original : CERT-FR
  
• Publication source : Bulletin CERT-FR
  
• Références : CVE-2025-32756, Bulletin de sécurité Fortinet FG-IR-25-254
  

Contenu de l'article

Risque

• Exécution de code arbitraire à distance
  

Systèmes affectés

Les produits Fortinet suivants sont concernés :

• FortiCamera versions antérieures à 2.1.4
  
• FortiMail
  
  • versions 7.0.x antérieures à 7.0.9
    
  • versions 7.2.x antérieures à 7.2.8
    
  • versions 7.4.x antérieures à 7.4.5
    
  • versions 7.6.x antérieures à 7.6.3
    
• FortiNDR
  
  • versions 7.1.x à 7.2.x antérieures à 7.2.5
    
  • versions 7.4.x antérieures à 7.4.8
    
  • versions 7.6.x antérieures à 7.6.1
    
  • versions antérieures à 7.0.7
    
• FortiRecorder
  
  • versions 6.4.x antérieures à 6.4.6
    
  • versions 7.0.x antérieures à 7.0.6
    
  • versions 7.2.x antérieures à 7.2.4
    
• FortiVoice
  
  • versions 6.4.x antérieures à 6.4.11
    
  • versions 7.0.x antérieures à 7.0.7
    
  • versions 7.2.x antérieures à 7.2.1
    

Résumé

Le 13 mai 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2025-32756.

• Cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire à distance.
  
• Elle est activement exploitée, principalement sur les produits FortiVoice.
  
• Fortinet fournit des marqueurs de compromission à rechercher pour détecter toute attaque.
  

Solutions

Le CERT-FR recommande :

1. Application immédiate des correctifs : se référer au bulletin de sécurité de l’éditeur pour les mises à jour.
   
2. Mesures temporaires : si la mise à jour n’est pas possible, désactiver l’interface de gestion exposée à Internet.
   > Le CERT-FR rappelle que l’exposition d’une interface de gestion sur Internet est contraire aux bonnes pratiques.
   

Documentation

• Bulletin de sécurité Fortinet FG-IR-25-254 du 13 mai 2025
  
• Avis CERT-FR CERTFR-2025-AVI-0399 du 13 mai 2025
  
• Référence CVE CVE-2025-32756
  

Référence

• Date de création : 03 décembre 2025
• Auteur original : Python Software Foundation (PSF)
• Publication source : CERT-FR – Vulnérabilité Python
• Références : CVE-2025-12084, Bulletin PSF-2025-16

Contenu de l'article

Risque

La vulnérabilité découverte dans Python permet un déni de service à distance. Un attaquant peut exploiter ce défaut pour interrompre le fonctionnement normal des applications Python non mises à jour.

Systèmes affectés

• Toutes les installations de Python qui n'ont pas appliqué les derniers correctifs de sécurité.

Résumé

Une faille a été identifiée dans Python qui rend certaines versions vulnérables à un déni de service à distance. Cette vulnérabilité peut impacter aussi bien les serveurs que les postes de développement.

Solutions

Pour corriger cette vulnérabilité :

• Se référer au bulletin de sécurité de l'éditeur.
• Appliquer les correctifs fournis par la PSF (Python Software Foundation).

Important : La mise à jour rapide de Python est recommandée pour tous les environnements exposés.

Documentation

• Bulletin de sécurité Python PSF-2025-16 (03 décembre 2025) Lien direct JSON
• Référence CVE : CVE-2025-12084 Détails CVE

Références utiles

• CERT-FR – Avis complet
• Base d’avis de sécurité Python PSF

Référence

• Date de création : 23 avril 2025
  
• Auteur original : CERT-FR
  
• Publication source : CERT-FR Actualité
  
• Références : CERTFR-2025-ACT-017
  

Contenu de l'article

Le 14 octobre 2025, le support du système d’exploitation Windows 10 version 22H2, dernière version en développement continu*, prendra fin. Passée cette date :

• Windows 10 ne fera plus l’objet de mises à jour de sécurité.
  
• Microsoft ne communiquera plus sur de nouvelles vulnérabilités affectant ce système.
  

Ainsi, si de nouvelles vulnérabilités sont identifiées après le 14 octobre 2025, elles ne seront pas corrigées, constituant un risque de sécurité majeur pour tout système d’information utilisant encore ce système, risque aggravé par la connexion à Internet.

Le support et les mises à jour de sécurité sont essentiels à la sécurisation d’un système. L’arrêt du support doit donc être anticipé et constitue une motivation à la migration vers une version toujours supportée, idéalement la plus récente.

Le CERT-FR a constaté que 68% des postes de travail des organismes utilisant son service ADS fonctionnent encore sur une version antérieure à Windows 11.

En cas d’impossibilité de migrer un système obsolète, l’isolation vis-à-vis du système d’information constituera une mesure compensatoire pour limiter les impacts en cas de compromission. Cette isolation doit être réalisée dans les plus brefs délais.

Références utiles :

• Cycle de vie Windows 10 Entreprise et Éducation
  
• Cycle de vie Windows 10 Famille et Pro
  
• Cycle de vie des différentes éditions Windows 10

*Ne concernent pas les versions de Windows 10 LTSC au cycle de vie fixe (comme W7, W8…), pour lesquelles :
– Une évolution de version est payante
– Les versions couvertes par des extensions de mise à jour de sécurité (ESU) sont exclues