Bienvenue dans votre bulletin cybersécurité du jour ⚡️
🔴 TP-Link : Faille critique dans les passerelles Omada
TP-Link alerte sur deux vulnérabilités d’injection de commandes dans ses passerelles Omada. La CVE-2025-6542 (CVSS 9.3) est exploitable à distance sans authentification sur 13 modèles. Des correctifs sont disponibles.
🛡️ CERT-FR — Oracle Java SE (AVI-0906)
Le CERT-FR signale 16 vulnérabilités dans Oracle Java SE touchant les versions 8 à 25 ainsi que GraalVM. Ces failles permettent l’exécution de code arbitraire à distance. Correctifs disponibles dans le CPU octobre 2025.
🛡️ CERT-FR — Oracle MySQL (AVI-0907)
28 CVE identifiées dans Oracle MySQL touchant les versions 8.0 à 9.4. Risques d’exécution de code arbitraire et de compromission des données. Correctifs dans le CPU octobre 2025.
🛡️ CERT-FR — Oracle Database Server (AVI-0905)
14 vulnérabilités dans Oracle Database Server versions 19.3 à 23.9. Composants Java VM, RDBMS et SQLcl affectés. Exécution de code arbitraire possible.
🛡️ CERT-FR — Oracle PeopleSoft (AVI-0908)
24 CVE dans PeopleSoft Enterprise et PeopleTools version 8.62. Risques d’exécution de code arbitraire et d’atteinte à la confidentialité. Correctifs CPU octobre 2025.
🛡️ CERT-FR — Oracle WebLogic (AVI-0911)
Quatre vulnérabilités dans WebLogic versions 12.2.1.4.0, 14.1.1.0.0 et 14.1.2.0.0. Risques de déni de service et d’atteinte à la confidentialité. Correctifs disponibles.
🛡️ CERT-FR — Oracle Virtualization (AVI-0910)
Neuf CVE dans VirtualBox versions 7.1.12 et 7.2.2. Exécution de code arbitraire et compromission des données possibles. Mises à jour publiées.
🛡️ CERT-FR — Oracle Systems (AVI-0909)
17 vulnérabilités dans Solaris Cluster v4, Solaris v11 et ZFS Storage Appliance Kit v8.8. Exécution de code arbitraire à distance possible.
🛡️ CERT-FR — GitLab (AVI-0904)
Sept vulnérabilités dans GitLab CE et EE versions 18.3.x à 18.5.x. Déni de service et contournement de politique de sécurité. Mise à jour vers 18.4.3, 18.5.1 ou 18.3.5.
🛡️ CERT-FR — Produits Atlassian (AVI-0903)
Six CVE dans Confluence et Jira. Multiples versions touchées. Risques de déni de service et d’atteinte à l’intégrité. Treize bulletins publiés le 21 octobre.
🛡️ CERT-FR — Xen (AVI-0902)
Deux vulnérabilités dans Xen versions 4.17.x à 4.20.x. Élévation de privilèges et atteinte à la confidentialité possibles. Correctifs xsa475 disponibles.
🛡️ CERT-FR — Google Chrome (AVI-0901)
Vulnérabilité non spécifiée (CVE-2025-12036) dans Chrome. Mise à jour disponible vers la version 141.0.7390.122 ou .123.
🛡️ CERT-FR — SolarWinds Observability (AVI-0912)
Injection SQL (CVE-2025-26392) dans Observability Self-Hosted versions antérieures à 2025.4. Correctif publié le 21 octobre.
⚡️ On ne réfléchit pas, on patch !
📚 Sources:
- https://www.bleepingcomputer.com/news/security/tp-link-warns-of-critical-command-injection-flaw-in-omada-gateways/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0906/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0907/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0905/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0908/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0911/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0910/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0909/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0904/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0903/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0902/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0901/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0912/
📞 Partagez vos retours:
📱 07 68 72 20 09
📧 radiocsirt@gmail.com
🌐 www.radiocsirt.org
📰 radiocsirt.substack.com