Xytherion Tools
Retour au blog
cybersécurité14 min de lecture6 juin 2026

Les CVE critiques de 2025 qu'il fallait patcher en priorité

Retour sur les vulnérabilités les plus critiques de 2025 : Log4Shell successeurs, failles zero-day, CVE activement exploitées et leçons à retenir.

2025 a été une année dense en vulnérabilités critiques. Des failles zero-day dans des VPN grand public aux RCE dans des bibliothèques omniprésentes, le rythme des CVE CVSS 9+ s'est accéléré. Voici un retour sur les vulnérabilités les plus impactantes et les leçons à en tirer pour vos infrastructures.

Contexte : l'explosion des CVE en 2025

Le NVD (National Vulnerability Database) a enregistré plus de 40 000 CVE en 2025, dont environ 10% classifiés CRITICAL (CVSS ≥ 9.0). La CISA a ajouté plus de 300 vulnérabilités à son catalogue KEV (Known Exploited Vulnerabilities), signalant une exploitation active dans la nature.

  • 40 000+ CVE publiés — record historique
  • 300+ entrées KEV CISA (exploitation confirmée en production)
  • Délai médian d'exploitation : 4 jours après publication d'un POC
  • Principaux vecteurs : VPN, équipements réseau, bibliothèques open-source

Le délai entre la publication d'un POC public et la première exploitation en masse est de plus en plus court. En 2025, certaines vulnérabilités ont été weaponisées en moins de 24 heures.

Les vulnérabilités les plus critiques

CVE-2025-0282 — Ivanti Connect Secure (CVSS 9.0)

Stack overflow dans Ivanti Connect Secure, Policy Secure et Neurons for ZTA permettant une exécution de code à distance non authentifiée. Exploitée activement par des groupes APT chinois (UNC5221) avant même le patch.

  • Type : RCE non authentifié (stack overflow)
  • Impact : prise de contrôle complète des appliances VPN
  • Exploitation : zero-day actif avant publication du patch
  • Remédiation : patch Ivanti + factory reset recommandé + rotation des certificats
bash
# Indicateurs de compromission à vérifier (IOC)
grep -i "unauthenticated" /var/log/ivanti/access.log
# Fichiers suspects créés post-exploitation
find /data/runtime/tmp -name "*.so" -newer /etc/passwd 2>/dev/null

CVE-2025-21395 / 21396 — Microsoft Exchange Server (CVSS 9.8)

Vulnérabilités critiques dans Microsoft Exchange permettant une RCE avec authentification minimale. Particulièrement dangereuse car Exchange est souvent exposé sur Internet et connecté à l'Active Directory.

Si vous utilisez encore Exchange on-premise, patcher en urgence ou migrer vers Exchange Online. Les instances Exchange exposées sur Internet sans patch récent sont compromises en moins de 48h.

CVE-2025-24813 — Apache Tomcat (CVSS 9.8)

Désérialisation partielle dans Apache Tomcat permettant une RCE via PUT d'une requête malformée. Affecte des millions d'applications Java en production mondiale.

bash
# Vérifier votre version Tomcat
catalina.sh version | grep "Server version"

# Versions vulnérables : < 11.0.3, < 10.1.35, < 9.0.99
# Patcher vers la version corrective immédiatement
# Workaround : désactiver les partial PUT si non nécessaire (Tomcat 11+ option)

CVE-2025-29927 — Next.js Authorization Bypass (CVSS 9.1)

Contournement des middleware d'autorisation dans Next.js en manipulant le header x-middleware-subrequest. Permet d'accéder à des routes protégées sans authentification.

bash
# Versions vulnérables
# Next.js < 15.2.3, < 14.2.25, < 13.5.9

# Vérifier votre version
cat package.json | grep '"next"'

# Patch
npm install next@latest

# Mitigation immédiate si patch impossible
# Bloquer le header x-middleware-subrequest au niveau du reverse proxy
# NGINX :
location / {
  proxy_set_header x-middleware-subrequest "";  # Écraser le header
  proxy_pass http://localhost:3000;
}

Si votre application Next.js utilise le middleware pour l'authentification (cas courant avec NextAuth.js), cette CVE est critique. Patcher immédiatement.

CVE-2025-1974 — Ingress NGINX (CVSS 9.8)

RCE dans l'Ingress NGINX Controller de Kubernetes via injection de configuration. Permet de prendre le contrôle des pods et potentiellement du cluster entier. Surnommée IngressNightmare.

  • Affecte tous les clusters Kubernetes utilisant ingress-nginx < 1.11.5
  • Exploitation via une requête au admission controller webhook
  • Impact : accès aux secrets de tous les namespaces du cluster
  • Plus de 6 500 clusters exposés détectés publiquement sur Internet

Vulnérabilités de bibliothèques open-source

Supply chain attacks en 2025

La compromission de packages open-source reste un vecteur majeur. En 2025, plusieurs packages npm et PyPI populaires ont été compromis par typosquatting ou via des comptes développeurs piratés.

  • Vérifier les dépendances avec npm audit et pip-audit régulièrement
  • Utiliser des lock files (package-lock.json, poetry.lock) avec hash de vérification
  • Activer Dependabot ou Renovate pour les mises à jour automatiques
  • Surveiller les changements de mainteneur sur les packages critiques
bash
# Audit de sécurité Node.js
npm audit --audit-level=high
npm audit fix

# Audit Python
pip install pip-audit
pip-audit --desc --output-format json

# Vérification des intégrités avec Sigstore
cosign verify-attestation --type slsaprovenance ghcr.io/sigstore/cosign

Leçons et recommandations pour 2026

  1. 1Automatisez la veille CVE — notre Cyber Watch agrège NVD, CISA KEV et CERT-FR en temps réel
  2. 2Mettez en place un processus de patch management avec SLA par criticité (CRITICAL < 24h, HIGH < 7 jours)
  3. 3Inventoriez vos expositions Internet — chaque service exposé est un vecteur d'attaque potentiel
  4. 4Pensez segmentation réseau — limiter l'impact d'une compromission est aussi important que la prévention
  5. 5Déployez un SBOM (Software Bill of Materials) pour connaître vos dépendances tierces
  6. 6Testez vos procédures de réponse à incident avant d'en avoir besoin

La CISA KEV est la source la plus actionnable : si une vulnérabilité est dans ce catalogue, elle est activement exploitée en production. Priorité absolue au patch.

Sources & références

  1. 1
    NVD — National Vulnerability Database (NIST)

    Base officielle américaine des CVE avec scores CVSS

  2. 2
    CISA KEV — Known Exploited Vulnerabilities Catalog

    Catalogue officiel des vulnérabilités confirmées comme exploitées en production

  3. 3
    CVE-2025-0282 — Ivanti Connect Secure (NIST)

    Fiche officielle NVD de la vulnérabilité Ivanti stack overflow, CVSS 9.0

  4. 4
    CVE-2025-29927 — Next.js Authorization Bypass (GitHub Advisory)

    Advisory officiel GitHub sur le bypass middleware Next.js

  5. 5
    IngressNightmare — CVE-2025-1974 (Wiz Research)

    Analyse technique complète des vulnérabilités Ingress NGINX par Wiz

#cve#vulnérabilités#patch#zero-day#cybersécurité#nvd

Testez vos configurations

Xytherion Tools propose des outils gratuits pour vérifier vos DNS, auditer votre SSL, tester SPF/DKIM/DMARC et bien plus — directement depuis votre navigateur.

Tous les articles
Les CVE critiques de 2025 qu'il fallait patcher en priorité — Xytherion Tools