CISA Flags Microsoft Office and HPE OneView Bugs as Actively Exploited

Failles Microsoft Office et HPE OneView Explotées Activement

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté deux vulnérabilités aux failles de sécurité connues et exploitées (KEV). Ces failles concernent respectivement Microsoft Office et HPE OneView, et leur exploitation active a été confirmée.

Points clés :

• Deux nouvelles vulnérabilités ont été ajoutées au catalogue KEV de la CISA.
• Ces vulnérabilités font l’objet d’une exploitation active.
• Le risque d’exploitation est accru par la publication de code d’exploitation (“proof-of-concept”).
• Les agences du pouvoir exécutif fédéral civil doivent appliquer les correctifs nécessaires avant le 28 janvier 2026.

Vulnérabilités identifiées :

• CVE-2009-0556 : Vulnérabilité d’injection de code dans Microsoft Office PowerPoint. Permet à des attaquants distants d’exécuter du code arbitraire par corruption de mémoire. (Score CVSS : 8.8)
• CVE-2025-37164 : Vulnérabilité d’injection de code dans HPE OneView. Permet à un utilisateur distant non authentifié d’exécuter du code à distance. (Score CVSS : 10.0)

Recommandations :

• Appliquer les mises à jour nécessaires pour corriger ces vulnérabilités.
• Pour HPE OneView, des correctifs sont disponibles pour les versions 5.20 à 10, et la mise à jour vers la version 11.00 ou ultérieure est recommandée pour toutes les versions antérieures.

Source