Source : Trellix – Dans son « Bug Report » de septembre 2025, Trellix recense cinq vulnérabilités critiques touchant des composants largement déployés (Chrome V8, Windows NTLM/MSMQ, Sangoma FreePBX, Django), avec deux failles activement exploitées. ⚠️

Vulnérabilités clés

  • CVE-2025-10585 (Chrome V8) : type confusion permettant une exécution de code à distance (RCE) via du contenu web malveillant.
  • CVE-2025-57819 (FreePBX) : injection SQL dans la validation de modular.php (module endpoint) menant à contournement d’authentification et exécution de commandes root via l’endpoint /admin/ajax.php.
  • CVE-2025-54918 (Windows NTLM) : élévation de privilèges d’un compte peu privilégié vers SYSTEM.
  • CVE-2025-50177 (Windows MSMQ) : use-after-free avec condition de course exploitée à distance (vecteur réseau) mais à haute complexité.
  • CVE-2025-57833 (Django) : mauvaise sanitisation des alias de colonnes dans FilteredRelation/QuerySet, conduisant à injection SQL pouvant atteindre une RCE sur PostgreSQL via COPY…TO PROGRAM.

Exploitation observée et disponibilité d’exploits

  • Exploitation active par des acteurs étatiques du zero‑day Chrome (CVE-2025-10585).
  • Exploitation active de FreePBX (CVE-2025-57819) à des fins de cryptominage.
  • PoC publics disponibles pour les vulnérabilités FreePBX et Django.

Impact et portée

  • Impacts allant de l’exécution de code à distance à la compromission complète du système (jusqu’à SYSTEM/root).
  • Systèmes affectés : Google Chrome (V8), Windows (NTLM, MSMQ), Sangoma FreePBX, Django (avec risque accru sur PostgreSQL via COPY…TO PROGRAM).
  • Trellix recommande un déploiement immédiat des correctifs, avec priorité d’urgence pour FreePBX en raison de l’exploitation massive en cours.

• IOCs et TTPs

  • IOCs : aucun indicateur spécifique communiqué.
  • TTPs : type confusion, injection SQL, use-after-free, condition de course, élévation de privilèges, contournement d’authentification, RCE via contenu web malveillant, exploitation réseau de MSMQ, COPY…TO PROGRAM sur PostgreSQL, cryptominage, opérations par acteurs étatiques.

Il s’agit d’un rapport de vulnérabilité visant à informer sur des failles critiques, leur état d’exploitation et la disponibilité d’exploits/PoC.

🔗 Source originale : https://www.trellix.com/blogs/research/the-bug-report-september-2025-edition/

🖴 Archive : https://web.archive.org/web/20251008163428/https://www.trellix.com/blogs/research/the-bug-report-september-2025-edition/