CISA warns of two more actively exploited Dassault vulnerabilities

CISA alerte sur des vulnérabilités exploitées dans DELMIA Apriso

La Cybersecurity & Infrastructure Security Agency (CISA) a signalé que deux vulnérabilités dans DELMIA Apriso de Dassault Systèmes sont activement exploitées par des attaquants.

Vulnérabilités et Points Clés :

• CVE-2025-6205 : Une faille critique de type “manque d’autorisation” permettant à des acteurs malveillants non authentifiés d’obtenir un accès privilégié à distance sur des applications non corrigées.
• CVE-2025-6204 : Une vulnérabilité de haut niveau d’injection de code autorisant des attaquants disposant de privilèges élevés à exécuter du code arbitraire sur les systèmes affectés.
• Ces deux failles concernent DELMIA Apriso des versions Release 2020 à Release 2025.
• Dassault Systèmes a publié des correctifs début août 2025.
• La CISA a ajouté ces vulnérabilités à son catalogue des vulnérabilités connues et exploitées (KEV Catalog).
• Une autre vulnérabilité critique de Dassault DELMIA Apriso (CVE-2025-5086) avait déjà été signalée en septembre.

Recommandations :

• Appliquer les correctifs fournis par l’éditeur dans les plus brefs délais.
• Pour les agences gouvernementales américaines, la mise en conformité est requise sous trois semaines, soit avant le 18 novembre.
• Suivre les directives applicables du BOD 22-01 pour les services cloud.
• En l’absence de correctifs, envisager l’arrêt de l’utilisation du produit.

Source