Résumé
Le 7 mai 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a signalé une faille de sécurité critique dans SysAid On-Prem, un logiciel utilisé pour gérer les services informatiques en entreprise.
Référencée sous CVE-2025-2776, cette vulnérabilité permet à un attaquant distant, sans authentification, d’exploiter un défaut dans le traitement d’URL du serveur via des fichiers XML malicieux. Cette faille peut entraîner la prise de contrôle d’un compte administrateur et la lecture illégale de fichiers sensibles, ce qui met en danger la sécurité globale du système.
Solutions
Mettre à jour SysAid vers la version 24.4.60 b16 ou ultérieure.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 9.3
Risques :
Contournement de la politique de sécurité
Atteinte à la confidentialité des données
Systèmes affectés
- SysAid On-Prem versions 23.3.40 et antérieures
Documentation
- Bulletin de SysAid:
https://documentation.sysaid.com/docs/24-40-60
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-2776
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-2776/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-2776