RadioCSIRT — Votre actu cybersécurité du mercredi 22 octobre 2025 (Ép.462)

Bienvenue dans votre bulletin cybersécurité du jour ⚡️🔴 TP-Link : Faille critique dans les passerelles OmadaTP-Link alerte sur deux vulnérabilités d'injection de commandes dans ses passerelles Omada. La CVE-2025-6542 (CVSS 9.3) est exploitable à distance sans authentification sur 13 modèles. Des correctifs sont disponibles.🛡️ CERT-FR — Oracle Java SE (AVI-0906)Le CERT-FR signale 16 vulnérabilités dans Oracle Java SE touchant les versions 8 à 25 ainsi que GraalVM. Ces failles permettent l'exécution de code arbitraire à distance. Correctifs disponibles dans le CPU octobre 2025.🛡️ CERT-FR — Oracle MySQL (AVI-0907)28 CVE identifiées dans Oracle MySQL touchant les versions 8.0 à 9.4. Risques d'exécution de code arbitraire et de compromission des données. Correctifs dans le CPU octobre 2025.🛡️ CERT-FR — Oracle Database Server (AVI-0905)14 vulnérabilités dans Oracle Database Server versions 19.3 à 23.9. Composants Java VM, RDBMS et SQLcl affectés. Exécution de code arbitraire possible.🛡️ CERT-FR — Oracle PeopleSoft (AVI-0908)24 CVE dans PeopleSoft Enterprise et PeopleTools version 8.62. Risques d'exécution de code arbitraire et d'atteinte à la confidentialité. Correctifs CPU octobre 2025.🛡️ CERT-FR — Oracle WebLogic (AVI-0911)Quatre vulnérabilités dans WebLogic versions 12.2.1.4.0, 14.1.1.0.0 et 14.1.2.0.0. Risques de déni de service et d'atteinte à la confidentialité. Correctifs disponibles.🛡️ CERT-FR — Oracle Virtualization (AVI-0910)Neuf CVE dans VirtualBox versions 7.1.12 et 7.2.2. Exécution de code arbitraire et compromission des données possibles. Mises à jour publiées.🛡️ CERT-FR — Oracle Systems (AVI-0909)17 vulnérabilités dans Solaris Cluster v4, Solaris v11 et ZFS Storage Appliance Kit v8.8. Exécution de code arbitraire à distance possible.🛡️ CERT-FR — GitLab (AVI-0904)Sept vulnérabilités dans GitLab CE et EE versions 18.3.x à 18.5.x. Déni de service et contournement de politique de sécurité. Mise à jour vers 18.4.3, 18.5.1 ou 18.3.5.🛡️ CERT-FR — Produits Atlassian (AVI-0903)Six CVE dans Confluence et Jira. Multiples versions touchées. Risques de déni de service et d'atteinte à l'intégrité. Treize bulletins publiés le 21 octobre.🛡️ CERT-FR — Xen (AVI-0902)Deux vulnérabilités dans Xen versions 4.17.x à 4.20.x. Élévation de privilèges et atteinte à la confidentialité possibles. Correctifs xsa475 disponibles.🛡️ CERT-FR — Google Chrome (AVI-0901)Vulnérabilité non spécifiée (CVE-2025-12036) dans Chrome. Mise à jour disponible vers la version 141.0.7390.122 ou .123.🛡️ CERT-FR — SolarWinds Observability (AVI-0912)Injection SQL (CVE-2025-26392) dans Observability Self-Hosted versions antérieures à 2025.4. Correctif publié le 21 octobre.⚡️ On ne réfléchit pas, on patch !📚 Sources:https://www.bleepingcomputer.com/news/security/tp-link-warns-of-critical-command-injection-flaw-in-omada-gateways/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0906/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0907/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0905/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0908/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0911/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0910/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0909/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0904/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0903/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0902/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0901/https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0912/📞 Partagez vos retours:📱 07 68 72 20 09📧 [email protected]🌐 www.radiocsirt.org📰 radiocsirt.substack.com#CyberSécurité #CERTFR #TPLink #Oracle #GitLab #Atlassian #MySQL #Chrome #SolarWinds #Xen #PatchManagement #VulnérabilityManagement #RadioCSIRT