CERTQC-AVIS-2025-270 - Multiples vulnérabilités dans les produits Sophos

PFC : LIBRE

 

Date: 2025-07-24

Niveau de risque maximal: Critique

Exploitation à distance: Oui

Exploitation locale: Oui

Exécution de code: Oui

De multiples vulnérabilités ont été découvertes dans les produits Sophos. L’exploitation de ces failles pourrait permettre à un attaquant de provoquer une exécution de code arbitraire et une élévation de privilèges.

Produits vulnérables:

  • Sophos Firewall - multiples versions
  • Sophos Intercept X pour Windows - multiples versions

CVE: CVE-2024-13972, CVE-2024-13973, CVE-2024-13974, CVE-2025-6704, CVE-2025-7382, CVE-2025-7433, CVE-2025-7472, CVE-2025-7624

Note:

Les organismes publics (OP) québécois qui utilisent un produit vulnérable doivent tester et déployer les mises à jour publiées par l’éditeur ou les mesures d’atténuation recommandées le cas échéant.

Les messages de la série « CERTQC-AVIS » apportent de l’information concernant des vulnérabilités ou des situations qui peuvent menacer la sécurité de l’information. Ces messages demandent une réaction à court terme. Les organismes publics québécois ont la responsabilité d’analyser en détails les mesures correctives et d’en vérifier le bon fonctionnement avant leur déploiement dans les environnements de production.