CVE-2025-20059 : Vulnérabilité de Traversée de Chemin Relatif dans l’Agent de Politique Java de Ping Identity PingAM
Juste après la récente divulgation de l’exploitation de CVE-2025-0108 affectant les produits PAN-OS de Palo Alto Networks, une autre vulnérabilité critique se révèle. Les défenseurs ont identifié une nouvelle vulnérabilité critique de traversée de chemin relatif dans Ping Identity PingAM Java Policy Agent, CVE-2025-20059, qui offre aux attaquants le feu vert pour injecter des paramètres malveillants répandant ainsi l’infection davantage.
Le nombre de CVE enregistrés a augmenté de 30 % en 2024, atteignant plus de 30 000 nouvelles vulnérabilités d’ici la fin de l’année. Comme une grande partie de ces failles a été exploitée lors d’attaques en pleine nature, la détection proactive de l’exploitation des vulnérabilités reste l’une des principales priorités pour les défenseurs cybernétiques à l’échelle mondiale.
La plateforme SOC Prime pour la défense cybernétique collective offre un ensemble étendu de contenus de détection visant l’exploitation potentielle des vulnérabilités. Inscrivez-vous sur la plateforme pour accéder au flux global des menaces actives, CTI en temps réel, et à des contenus de détection sur mesure pour toujours rester une longueur d’avance sur les attaquants. Consultez notre bibliothèque de règles filtrée par le tag “CVE” en cliquant sur le bouton Explorer les Détections , pour ne manquer aucune menace susceptible de mettre en péril votre entreprise, car des détections sont ajoutées quotidiennement.
Toutes les règles sont compatibles avec plusieurs solutions SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK® pour rationaliser l’investigation des menaces. De plus, chaque règle est enrichie avec des métadonnées détaillées, y compris des références en renseignement sur les menaces, des chronologies d’attaques, des recommandations de triage, et plus encore. references, attack timelines, triage recommendations, and more.
Analyse de CVE-2025-20059
Le NIST NVD a récemment mis en lumière une nouvelle faille de traversée de chemin relatif dans le Ping Identity PingAM Java Policy Agent suivie sous l’identifiant CVE-2025-20059, qui présente des risques croissants pour les versions logicielles jusqu’à 5.10.3, 2023.11.1, et 2024.9. La faille critique avec un score CVSS élevé de 9.2 peut également affecter des versions plus anciennes non prises en charge, il est donc très impératif de sécuriser les déploiements rapidement.
Les attaquants pourraient armer ce problème de sécurité pour la manipulation des chemins de fichiers, l’injection de paramètres, et l’exfiltration de données. En conséquence d’une exploitation réussie, cela pourrait potentiellement perturber les opérations du système. Même s’il n’existe actuellement aucun PoC public disponible ni d’instances signalées d’exploitation de CVE-2025-20059 en milieu sauvage, l’accessibilité à distance et l’absence d’interaction utilisateur rendent la faille particulièrement dangereuse et facile à exploiter.
En tant qu’étapes potentielles de mitigation CVE, les organisations devraient mettre à jour vers la dernière version logicielle. Notamment, des correctifs sont disponibles en effectuant la mise à niveau au-delà des versions 5.10.3, 2023.11.1, et 2024.9. Comme solution de contournement potentielle applicable uniquement à la version produit 2024.9, le fournisseur recommande également d’ajouter la propriété spécifique au fichier AgentBootstrap.properties , ce qui bloquera tous les chemins URL contenant un point-virgule, renvoyant HTTP 400. Cependant, cela ne s’applique pas aux paramètres de requête. De plus, pour minimiser les risques d’exploitation, les défenseurs recommandent d’appliquer une validation stricte de l’entrée, de mettre en œuvre la segmentation du réseau, de suivre en continu tout accès suspect aux fichiers ou tentatives d’injection des paramètres, et de réaliser une révision complète de la sécurité.
La suite complète de produits de SOC Prime pour la sécurité des entreprises équipe les défenseurs cybernétiques avec tout ce dont ils ont besoin pour activer l’orchestration intelligente des données, adopter un CI/CD complet pour la détection avancée des menaces et l’ingénierie de détection alimentée par l’IA, offrir la capacité de chasse aux menaces basée sur le renseignement, et optimiser le risque de leur posture de sécurité informatique. Plus précisément, Attack Detective fournit aux organisations un accès en temps réel aux capacités de détection et de chasse aux menaces recherchées et packagées pour protéger les organisations contre les tentatives d’exploitation de vulnérabilités très sophistiquées qui pourraient être les plus difficiles à identifier. Il offre des audits de données et de contenu pour une visibilité complète des menaces et une couverture de détection améliorée, équipe les équipes de sécurité avec des règles de haute qualité et à faible bruit pour l’alerte, et permet une chasse aux menaces automatisée.
