Accueil Â» Tags

CVE-2025-55241

CVE-2025-55241 : une faille critique d’Entra ID permettait de prendre le contrîle admin de tout tenant

Selon Cyber Security News, une vulnĂ©rabilitĂ© critique (CVE-2025-55241) dĂ©couverte en juillet 2025 par Dirk-jan Mollema et dĂ©sormais corrigĂ©e par Microsoft, permettait Ă  un attaquant de s’octroyer des privilĂšges d’administrateur global sur n’importe quel tenant Entra ID. Nature de la faille ⚠: combinaison d’un mĂ©canisme d’authentification legacy via des Actor tokens (jetons internes non soumis aux politiques de sĂ©curitĂ© classiques comme le Conditional Access) et d’un dĂ©faut de validation dans l’API Azure AD Graph (ancienne API) qui n’assurait pas que le jeton provenait du mĂȘme tenant. ...

22 septembre 2025 Â· 2 min

CVE-2025-55241 : des « Actor tokens » permettaient un accÚs Global Admin cross-tenant sur Entra ID via Azure AD Graph

Dans un billet de blog publiĂ© le 17 septembre 2025, le chercheur Dirk-jan Mollema dĂ©taille la vulnĂ©rabilitĂ© la plus impactante qu’il dit avoir trouvĂ©e dans Entra ID : un dĂ©faut de validation dans l’API Azure AD Graph combinĂ© Ă  des « Actor tokens » internes permettait d’usurper n’importe quel utilisateur — y compris des Global Admins — dans tout tenant, aboutissant Ă  une compromission totale. Microsoft a corrigĂ© rapidement et attribuĂ© l’identifiant CVE-2025-55241. ...

17 septembre 2025 Â· 4 min
Derniùre mise à jour le: 23 Sep 2025 📝