---

⚡ Veille Cybersécurité : 6 Vulnérabilités Critiques à Traiter en Urgence

⚡ L’Essentiel en 30 Secondes

Cette semaine, le CERT-FR alerte sur 6 vulnérabilités, dont 4 critiques (scores ≥ 9.0) et 2 élevées. Deux d’entre elles (Cisco Unified CCX) sont activement exploitées et permettent une prise de contrôle totale des serveurs (exécution de code, élévation de privilèges root).

Impact global pour les entreprises françaises : Élevé – Risques majeurs de compromission des centres d’appels (Cisco CCX), d’attaques par ransomware via des panneaux de contrôle web (CWP), et d’exfiltration de données sur macOS/iPadOS.
Action urgente requise ? Oui – Les correctifs pour Cisco CCX (CVE-2025-20354, CVE-2025-20358) et CWP (CVE-2025-48703) doivent être appliqués sous 48h pour les systèmes exposés.

---

📊 Vue d’Ensemble

• 🔴 4 vulnérabilités critiques (9.0–9.8) : Cisco CCX (2), macOS/iPadOS, CWP (CentOS Web Panel).
• 🟠 2 vulnérabilités élevées (7.5–8.8) : Samsung (libimagecodec), Gladinet (LFI).
• 🟡 0 vulnérabilités moyennes/fables.

Analyse :
Cette semaine est marquée par deux failles critiques dans Cisco Unified CCX, un système largement utilisé dans les centres d’appels et services clients (industrie, retail, santé). Une exploitation réussie permet l’exécution de code arbitraire avec des droits root, ouvrant la porte à des ransomwares ou vols de données sensibles. Par ailleurs, CWP (ex-CentOS Web Panel), un outil d’administration web populaire chez les hébergeurs et PME, présente une faille RCE exploitable sans authentification. Enfin, Apple corrige une faille de permissions sur macOS et iPadOS, tandis que Samsung et Gladinet publient des correctifs pour des vulnérabilités moins critiques mais à surveiller.

---

🎯 Top 3 des Vulnérabilités Critiques

🔴 CVE-2025-20354 — Cisco Unified CCX — Exécution de Code à Distance (RCE) + Élévation de Privilèges (Root)

Score CVSS : 9.8/10 (Critique)

Explication simple :
Une faille dans le mécanisme d’authentification Java RMI de Cisco Unified CCX permet à un attaquant non authentifié d’uploader un fichier malveillant et d’exécuter des commandes arbitraires avec les droits root sur le serveur. Cette vulnérabilité exploite un défaut de validation des requêtes RMI, souvent exposées sur le réseau.

Impact

• Produits affectés : Cisco Unified CCX versions antérieures à 12.6.2.10000-96 (toutes versions non patchées).
• Environnements typiques : Serveurs physiques/virtuels hébergeant des solutions de centres d’appels (industrie, services clients, santé).
• Secteurs potentiellement touchés : Télécommunications, retail, banques, collectivités (tout secteur utilisant des plateformes de contact client).

Conséquences métiers :

• Prise de contrôle totale du serveur (ransomware, espionnage).
• Arrêt des services clients (perturbation des appels, perte de confiance).
• Vol de données sensibles (enregistrements d’appels, informations clients).

Actions immédiates :

1. Vérifier l’exposition :

• Lister les serveurs Cisco Unified CCX via l’inventaire ou un scan réseau (port 1099/TCP pour RMI).
• Vérifier la version avec la commande CLI : show version active.

1. Appliquer le correctif :

• Oui – Mettre à jour vers 12.6.2.10000-96 ou ultérieure (lien Cisco).
• Procédure : Suivre le guide de mise à jour Cisco.

1. Mesures temporaires (si patch impossible sous 48h) :

• Bloquer le port 1099/TCP sur les firewalls (Fortinet, Palo Alto, pfSense).
• Désactiver les services RMI non essentiels via la configuration CCX.
• Isoler les serveurs CCX dans un VLAN dédié avec accès restreint.

Sources :

• Advisory Cisco
• CERT-FR
• NVD

---

🔴 CVE-2025-20358 — Cisco Unified CCX — Contournement d’Authentification (Prise de Contrôle Admin)

Score CVSS : 9.4/10 (Critique)

Explication simple :
Une faille dans le flux d’authentification entre le CCX Editor et le serveur Unified CCX permet à un attaquant de rediriger les requêtes vers un serveur malveillant et d’obtenir des droits administratifs sur les scripts CCX. Cela permet de créer/exécuter des scripts arbitraires avec les privilèges d’un utilisateur interne (non-root mais critique).

Impact

• Produits affectés : Même plage que CVE-2025-20354 (versions < 12.6.2.10000-96).
• Environnements : Postes des administrateurs CCX (éditeurs de scripts).
• Secteurs : Identique à la CVE précédente.

Conséquences métiers :

• Modification des scripts de routage d’appels (détournement de flux clients).
• Exécution de payloads malveillants via les scripts CCX.

Actions immédiates :

1. Même correctif que CVE-2025-20354 (version 12.6.2.10000-96).
2. Vérifier les logs CCX pour détecter des connexions suspectes :

• grep "CCX Editor" /var/log/ccx/*.log.

1. Renforcer l’authentification :

• Activer MFA pour les accès CCX Editor.
• Restreindre les IP sources autorisées à se connecter.

Sources :

• Cisco Advisory
• NVD

---

🔴 CVE-2025-48703 — Control Web Panel (CWP) — Exécution de Code à Distance (RCE) sans Authentification

Score CVSS : 9.0/10 (Critique)

Explication simple :
Une faille dans le gestionnaire de fichiers de CWP (anciennement CentOS Web Panel) permet à un attaquant non authentifié d’injecter des commandes shell via le paramètre t_total dans une requête changePerm. Un nom d’utilisateur non-root valide est requis (facile à deviner ou brute-forcer).

Impact

• Produits affectés : CWP versions < 0.9.8.1205.
• Environnements : Serveurs Linux (CentOS/RHEL) hébergeant des sites web ou applications métiers.
• Secteurs : Hébergeurs, PME avec serveurs auto-gérés, agences web.

Conséquences métiers :

• Compromission totale du serveur (ransomware, défacement, vol de bases de données).
• Attaques en chaîne (pivot vers d’autres machines du réseau).

Actions immédiates :

1. Vérifier la version CWP :

• Commande : rpm -qa | grep cwp ou via l’interface web (Tableau de bord > À propos).

1. Appliquer le correctif :

• Oui – Mettre à jour vers 0.9.8.1205 :
  bash
cd /usr/local/cwpsrv/htdocs/resources/scripts
./update_cwp


1. Mesures temporaires :

• Restreindre l’accès à l’interface CWP (IP whitelisting sur le firewall).
• Désactiver le service CWP si non utilisé : systemctl stop cwpsrv.

Sources :

• CWP Changelog
• NVD

---

📋 Autres Vulnérabilités Importantes

• 🟠 CVE-2025-21042 — Samsung (libimagecodec.quram.so) — Exécution de Code à Distance
  Score : 8.8 — Patch : Oui (SMR Apr-2025 Release 1) — Priorité : P2 — Secteurs : Entreprises utilisant des appareils Samsung Android (flottes mobiles).
  Risque : Attaque via des images malveillantes (ex. pièces jointes, sites web).

• 🟠 CVE-2025-11371 — Gladinet CentreStack/TrioFox — Inclusion de Fichiers Locaux (LFI)
  Score : 7.5 — Patch : Oui (version 16.7.10368.56561) — Priorité : P2 — Secteurs : PME utilisant des solutions de partage de fichiers cloud.
  Risque : Fuites de fichiers système (ex. /etc/passwd). Exploitée dans la nature → Urgence si Gladinet est déployé.

• 🟠 CVE-2025-30465 — Apple (macOS/iPadOS) — Contournement de Permissions
  Score : 9.8 (mais impact limité aux raccourcis) — Patch : Oui (Ventura 13.7.5, Sonoma 14.7.5, etc.) — Priorité : P3 — Secteurs : Entreprises avec parcs macOS/iPad.
  Risque : Accès non autorisé à des fichiers via l’app Raccourcis. Peu critique en entreprise si les appareils sont gérés (MDM).

---

🛡️ Plan d’Action Entreprise

🚨 Mesures Prioritaires (< 48h)

1. Cisco Unified CCX :

• Identifier les serveurs vulnérables (inventaire + scan ports 1099/TCP).
• Appliquer le patch 12.6.2.10000-96 (tester en pré-production).
• Bloquer le trafic RMI non essentiel.

1. Control Web Panel (CWP) :

• Mettre à jour vers 0.9.8.1205.
• Vérifier les logs pour des requêtes suspectes (/var/log/cwp/).

1. Gladinet CentreStack :

• Si déployé, patcher immédiatement (version 16.7.10368.56561).

📅 Actions Importantes (< 1 semaine)

• Samsung : Déployer la mise à jour SMR Apr-2025 sur les flottes mobiles.
• Apple : Mettre à jour les macOS/iPadOS via MDM (Jamf, Intune).
• Documenter les actions dans le registre des vulnérabilités (pour conformité RGPD/NIS2).

📋 Routine Mensuelle

• Inventaire : Vérifier que tous les actifs sont couverts (outils comme Lansweeper, GLPI).
• Patching : Automatiser les mises à jour critiques (WSUS, Ansible, Chocolatey).
• Sauvegardes : Tester la restauration d’un serveur CCX ou CWP.
• Logs : Surveiller les tentatives d’exploitation (ex. requêtes changePerm pour CWP).
• Sensibilisation : Rappeler les bonnes pratiques (ex. ne pas exposer CWP sur Internet).

---

🔗 Ressources

• Bulletin CERT-FR : CERTFR-2025-ACT-048
• Base NVD : https://nvd.nist.gov/
• Advisories éditeurs :
• Cisco : https://sec.cloudapps.cisco.com/security/center
• CWP : https://control-webpanel.com/changelog
• Gladinet : https://www.gladinet.com/release-notes

---

📩 Des questions concernant Cyberpaladin ?

L’équipe Cyberpaladin vous aide à :
✅ Prioriser les correctifs avec une analyse de risque adaptée à votre SI.
✅ Structurer votre gouvernance SSI avec un parcours guidé, adapté aux TPE/PME, basé sur la méthode EBIOS Risk Manager.
✅ Sensibiliser vos équipes via des modules interactifs et des campagnes de phishing simulées, pour réduire les risques humains.
✅ Automatiser votre conformité (RGPD, NIS2, ISO 27001) avec des plans d’actions personnalisés et un suivi en temps réel.
📧 contact@cyberpaladin.eu | 🌐 cyberpaladin.eu

---

Rédigé par Cyberpaladin
Sources : CERT-FR CERTFR-2025-ACT-048, NVD, Cisco, CWP, Apple.
Prochaine édition : Lundi 22 juillet 2025.