Catégorie : Failles de sécurité système

  • CVE-2025-59922 – Vulnérabilité dans FortiClientEMS

    DESCRIPTION / CVE-2025-59922– Publié le 13/01/2026

    La vulnérabilité CVE-2025-59922 est une vulnérabilité critique de type « Injection SQL » (neutralisation incorrecte d’éléments spéciaux dans une commande SQL) (CWE-89). Elle a reçu un score de 7,2/10 sur l’échelle CVSS, indiquant un niveau de sévérité HAUT.

    Cette faille est liée à une faiblesse dans FortiClientEMS (Endpoint Management Server)
    Cette vulnérabilité peut permettre à un attaquant authentifié avec au minimum des droits d’administrateur en lecture seule d’injecter et d’exécuter des commandes SQL non autorisées via des requêtes HTTP/HTTPS spécialement forgées adressées à l’interface vulnérable.

    Mécanisme d’exploitation

    La faille repose sur cinq points :

    Exposition de l’interface vulnérable :
    L’interface web/API du service de gestion FortiClientEMS, accessible sur le réseau via HTTP/HTTPS, accepte des requêtes en provenance d’utilisateurs authentifiés avec des privilèges administratifs au moins en lecture seule.    		Insuffisance de neutralisation des entrées :
    Les requêtes traitées par le service ne neutralisent pas correctement des éléments spéciaux dans les paramètres SQL, ce qui permet de manipuler des requêtes destinées à la base de données.
    Injection de commandes SQL :
    Un attaquant authentifié envoie des requêtes HTTP/HTTPS spécialement construites contenant des charges malveillantes. Les paramètres SQL ne sont pas suffisamment filtrés ou échappés, permettant de modifier la logique des requêtes.    		Exécution non autorisée :
    Les commandes SQL injectées s’exécutent dans le contexte de la base de données de FortiClientEMS, permettant potentiellement la lecture, la modification ou la suppression de données sensibles, voire l’exécution de commandes non prévues par les développeurs.
    Impact sur la sécurité globale :
    L’exploitation peut compromettre la confidentialité, l’intégrité et la disponibilité des données gérées par FortiClientEMS ainsi que la configuration des endpoints.

    CORRECTIFS ET RECOMMANDATIONS

    Versions affectées
    FortiClientEMS -> 7.2.0 et 7.2.10
    FortiClientEMS -> 7.4.0 et 7.4.1
    FortiClientEMS -> 7.4.3 et 7.4.4
    Application des correctifs
    Appliquer immédiatement les mises à jour ou correctifs fournis par Fortinet.
    Restriction d’accès aux interfaces
    Limiter l’accès réseau à l’interface de gestion FortiClientEMS (accès restreint via VPN ou segmentation réseau)
    Renforcement des authentifications
    S’assurer que seuls des comptes administrateurs légitimes accèdent aux interfaces de gestion, renforcer les mots de passe et utiliser une authentification multi-facteurs (MFA).
    Surveillance des modifications
    Mettre en place une surveillance accrue des journaux d’accès pour détecter des requêtes HTTP/HTTPS suspectes ou des commandes SQL anormales.
    Principes de moindre privilège
    Éviter de donner des accès d’administration même en lecture seule à des comptes inutiles. Appliquer le principe du moindre privilège dans l’organisation.

    CONCLUSION ET PERSPECTIVES

    La vulnérabilité CVE-2025-59922 illustre qu’un défaut de validation d’entrée, même sur une interface interne ou réservée aux administrateurs, peut conduire à des injections SQL graves affectant la sécurité globale d’un système de gestion des endpoints.

    Cette vulnérabilité rappelle l’importance de :

    • Valider et neutraliser correctement toutes les entrées utilisateurs côté serveur
    • Maintenir les logiciels à jour avec les derniers correctifs de sécurité
    • Restreindre fortement l’accès aux interfaces d’administration, même aux utilisateurs privilégiés.
    Sources

    CVE : https://www.cve.org/CVERecord?id=CVE-2025-59922
    CVE Détails : https://www.cvedetails.com/cve/CVE-2025-59922/
    CWE : https://cwe.mitre.org/data/definitions/89.html
    CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0035/
    NIST : https://nvd.nist.gov/vuln/detail/CVE-2025-59922
    FortiGuard : https://www.fortiguard.com/psirt/FG-IR-25-735
    E-santé : https://cyberveille.esante.gouv.fr/alertes/fortinet-cve-2025-59922-2026-01-15

  • CVE-2025-7073 – Vulnérabilité dans l’ATC de Bitdefender

    DESCRIPTION / CVE-2025-7073 – Publié le 10/12/2025

    La vulnérabilité CVE-2025-7073 est une vulnérabilité critique de type « Local Privilege Escalation »(élévation de privilèges) et « Link Following »(CWE-59) .
    Elle a reçu un score de 8,8/10 sur l’échelle CVSS, indiquant un niveau de sévérité HAUT.

    Cette faille est liée à une faiblesse dans l’ATC (Advanced Threat Control) de Bitdefender.
    La vulnérabilité permet à un attaquant de manipuler des fichiers critiques en créant des liens symboliques (symlinks) dans un dossier surveillé par le service Bitdefender.

    Mécanisme d’exploitation

    La faille repose sur six points :

    Présence d’un dossier accessible aux utilisateurs :
    Le service Bitdefender ATC utilise un répertoire spécifique
    > C:\ProgramData\Atc\Feedback, pour stocker et traiter des fichiers temporaires ou de diagnostic. Ce répertoire est accessible en écriture par des utilisateurs locaux non privilégiés.    		Création d’un lien symbolique malveillant :
    Un attaquant local crée, dans ce répertoire, un lien symbolique pointant vers un fichier système ou un fichier critique de son choix. Ce lien est conçu pour ressembler à un fichier légitime attendu par le service Bitdefender.
    Absence de validation des liens symboliques :
    Lors du traitement ou du nettoyage du répertoire, le service Bitdefender ne vérifie pas si le fichier manipulé est un lien symbolique ni vers quelle cible il pointe réellement.    		Exécution d’une opération avec privilèges élevés :
    Le service, exécuté avec les privilèges SYSTEM, applique une opération (suppression, remplacement ou écrasement) sur le fichier ciblé par le lien symbolique, pensant agir sur un simple fichier temporaire.
    Modification ou suppression de fichiers critiques :
    L’opération est alors appliquée directement au fichier réel pointé par le lien symbolique, permettant à l’attaquant d’altérer des fichiers système ou de préparer l’injection de code malveillant.    		Élévation de privilèges :
    En exploitant ce comportement, l’attaquant peut obtenir une élévation de privilèges locale et exécuter du code ou des actions avec des droits équivalents à ceux du service Bitdefender.

    CORRECTIFS ET RECOMMANDATIONS

    Version corrigées
    Total Security >= v27.10.45.497
    Internet Security & Antivirus Plus >= v27.10.45.497
    Antivirus Free >= v30.0.25.77
    Endpoint Security Tools for Windows >= v7.9.20.515
    Application des correctifs
    Mettre à jour instantanément tous les produits Bitdefender mentionnés vers les versions corrigées afin d’éliminer la vulnérabilité.
    Limitation des permissions
    Limiter les comptes utilisateurs à des privilèges stricts lorsqu’ils n’ont pas besoin d’accès particuliers.
    Accessibilité
    Vérifier les permissions des dossiers sensibles afin d’éviter qu’un répertoire d’application ne soit accessible en écriture non contrôlée par des utilisateurs non privilégiés.
    Surveillance de modifications
    Surveiller les modifications de fichiers système, en particulier dans les actions automatisées d’antivirus ou de processus d’élévations de leurs droits.

    CONCLUSION ET PERSPECTIVES

    La vulnérabilité CVE-2025-7073 illustre comment une simple erreur de validation de liens symboliques dans un composant de sécurité peut devenir une faille d’élévation de privilèges grave, malgré le fait que le composant soit censé protéger le système.

    Cette vulnérabilité rappelle l’importance de :

    • Filtrer et contrôler les permissions utilisateurs
    • Valider explicitement et avec attention chaque opération du système de fichier
    • Maintenir les logiciels à jour
    Sources

    CVE : https://www.cve.org/CVERecord?id=CVE-2025-7073
    CWE : https://cwe.mitre.org/data/definitions/59.html
    CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1089/
    Bitdefender : https://www.bitdefender.com/support/security-advisories/local-privilege-escalation-via-arbitrary-file-operation-in-bitdefender-atc-va-12590/
    NIST : https://nvd.nist.gov/vuln/detail/CVE-2025-7073

  • CVE-2025-64459 – Vulnérabilité dans l’ORM de Django

    DESCRIPTION / CVE-2025-64459 – Publié le 05/11/2025

    La vulnérabilité CVE-2025-64459 est une vulnérabilité critique de type « Injection SQL » (manipulation malveillante d’une requête SQL générée par l’ORM de Django et destinée à la base de données). Elle a reçu un score de 9.1/10 sur l’échelle CVSS, indiquant un niveau de sévérité CRITIQUE.

    Cette faille est liée à une faiblesse dans l’ORM (Object Relational Mapper) de Django.
    En pratique, la vulnérabilité permet à un utilisateur malveillant de détourner la manière dont certaines requêtes SQL sont générées, ouvrant la voie à une extraction ou une modification non autorisée de données sensibles.

    Mécanisme d’exploitation

    La faille repose sur cinq points :

    Identification d’une entrée manipulable :
    L’attaquant repère une fonctionnalité qui intègre directement des données utilisateur dans un dictionnaire transmis à l’ORM via une expansion.    		Injection d’un paramètre interne :
    Il introduit dans ces données un paramètre interne réservé à Django >_connector, normalement inaccessible.
    Acceptation du paramètre par l’ORM :
    En raison de la faille, Django ne filtre pas ce paramètre lorsqu’il provient d’un dictionnaire expansé et l’intègre dans la construction de la requête.    		Altération de la logique SQL générée :
    La présence de ce paramètre modifie la manière dont l’ORM assemble les conditions, entraînant la création d’une requête SQL déviée.
    Exploitation de la requête modifiée :
    L’attaquant profite du comportement non prévu de la requête pour contourner des restrictions ou accéder à des données sensibles.

    CORRECTIFS ET RECOMMANDATIONS

    Application du correctif
    La vulnérabilité a été corrigée dans les versions officielles de Django. Les utilisateurs doivent mettre à jour leur framework vers les versions corrigées pour éliminer la faille.
    Transmission de dictionnaires
    Éviter de transmettre directement des dictionnaires contenant des données utilisateur dans les méthodes de l’ORM.
    Mise en place de validation
    Mettre en place une validation stricte des données pour empêcher l’introduction de paramètres inattendus.
    Limitation des permissions
    Limiter les permissions du compte base de données qui vise à réduire les dégâts en cas d’exploitation.
    Source correctif

    Dépot Github : https://github.com/django/django/commit/98e642c69181c942d60a10ca0085d48c6b3068bb

    CONCLUSION ET PERSPECTIVES

    La vulnérabilité CVE‑2025‑64459 montre qu’une faille peut exister même dans des composants réputés sûrs comme l’ORM de Django. Elle illustre que la sécurité d’un framework ne garantit pas automatiquement la protection contre toutes les injections SQL.

    Cette vulnérabilité rappelle l’importance de :

    • Maintenir les frameworks à jour.
    • Valider et filtrer les entrées utilisateur.
    • Limiter les permissions des comptes de base de données.
    Sources

    CVE : https://www.cve.org/CVERecord?id=CVE-2025-64459

    Github Django : https://github.com/django/django/commit/98e642c69181c942d60a10ca0085d48c6b3068bb

    DjangoProject : https://www.djangoproject.com/weblog/2025/nov/05/security-releases/

    Exploit DATABASE : https://www.exploit-db.com/exploits/52456

    NIST : https://nvd.nist.gov/vuln/detail/CVE-2025-64459