Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 20
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Siemens | SIMATIC CN 4100 | CVE-2024-32740 | 9.8 | Exécution de code arbitraire à distance | 14/05/2024 | Pas d'information | CERTFR-2024-AVI-0393 | https://cert-portal.siemens.com/productcert/html/ssa-273900.html |
| Siemens | SIMATIC CN 4100 | CVE-2024-32741 | 10 | Exécution de code arbitraire | 14/05/2024 | Pas d'information | CERTFR-2024-AVI-0393 | https://cert-portal.siemens.com/productcert/html/ssa-273900.html |
| Chrome et navigateurs basés sur chromium | CVE-2024-4761 | Non spécifié par l'éditeur | 14/05/2024 | Exploitée | CERTFR-2024-AVI-0398 | https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html | ||
| Chrome et navigateurs basés sur chromium | CVE-2024-4947 | Non spécifié par l'éditeur | 15/05/2024 | Exploitée | CERTFR-2024-AVI-0410 | https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html | ||
| Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31473 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
| Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31472 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
| Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31471 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
| Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31470 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
| Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31469 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
| Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31468 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
| Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31467 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
| Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31466 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
| VmWare | VMware Workstation, VMware Fusion | CVE-2024-22267 | 9.3 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0405 | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24280 |
| Microsoft | Windows | CVE-2024-30040 | 8.8 | Contournement de la politique de sécurité | 14/05/2024 | Exploitée | CERTFR-2024-AVI-0400 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30040 |
| Microsoft | Windows | CVE-2024-30051 | 7.8 | Élévation de privilèges | 14/05/2024 | Exploitée | CERTFR-2024-AVI-0400 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30051 |
| Apple | iOS 17.5 et iPadOS | CVE-2024-27804 | Élévation de privilèges | 14/05/2024 | Preuve de concept publique | CERTFR-2024-AVI-0392 | https://support.apple.com/en-us/HT214101 | |
| SAP | SAP NetWeaver Application Server ABAP et ABAP Platform | CVE-2024-33006 | 9.6 | Exécution de code arbitraire à distance | 14/05/2024 | Pas d'information | CERTFR-2024-AVI-0395 | https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2024.html |
| SAP | SAP CX Commerce | CVE-2019-17495 | 9.8 | Exécution de code arbitraire à distance | 14/05/2024 | Pas d'information | CERTFR-2024-AVI-0395 | https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2024.html |
Autres vulnérabilités
Vulnérabilités dans les produits Alcatel-Lucent
Le 6 mai 2024, Alcatel-Lucent a publié un avis de sécurité détaillant les vulnérabilités CVE-2024-29149 et CVE-2024-29150. Ces vulnérabilités permettent de charger un micrologiciel arbitraire et d'effectuer une élévation de privilèges.Lien :
Vulnérabilités dans les produits D-Link
Le 16 mai 2024, la Cisa a ajouté les vulnérabilités CVE-2021-40655 et CVE-2014-100005 à son catalogue de vulnérabilités réputées exploitées. Celles-ci permettent de contourner les mesures d'authentification sur les équipements D-Link DIR-600 et DIR-605.De plus le CERT-FR a connaissance de codes d'exploitation publics permettant une élévation de privilège et une exécution de code arbitraire à distance sur les équipements DIR-x4860.
Lien :
CVE-2024-32113 : Exécution de code arbitraire dans Apache OfBiz
Le 8 mai 2024, Apache a publié un avis de sécurité concernant la vulnérabilité CVE-2024-32113. Cette vulnérabilité permet l'exécution de code arbitraire à distance en exploitant une traversée de répertoire. Le CERT-FR a connaissance d'une preuve de concept publique.La version corrective 18.12.13 a été publiée.
Lien :
Multiples vulnérabilités dans Solarwinds Access Rights Manager (ARM)
Le 9 mai 2024, Solarwinds a publié des avis de sécurité concernant les vulnérabilité CVE-2024-23473 et CVE-2024-28075. Ces vulnérabilités permettent l'exécution de code arbitraire à distance et le contournement de l'authentification. La CVE-2024-28075 est évaluée à un score CVSSv3 de 9.0 (CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).La version 2023.2.3 a été publiée pour corriger cette vulnérabilité.
Liens :
- https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28075
- https://www.solarwinds.com/trust-center/security-advisories/cve-2024-23473
Multiples vulnérabilités dans Git
Le 14 mai 2024, cinq avis de sécurité concernant git ont été publiés. Les vulnérabilités présentées permettent notamment l'exécution de code arbitraire à distance (CVE-2024-32021 et CVE-2024-32002).Les vulnérabilités sont corrigées dans les versions v2.45.1, v2.44.1, v2.43.4, v2.42.2, v2.41.1, v2.40.2 et v2.39.4.
Liens :
- https://github.com/git/git/security/advisories/GHSA-xfc6-vwr8-r389
- https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv
- https://github.com/git/git/security/advisories/GHSA-mvxm-9j2h-qjx7
- https://github.com/git/git/security/advisories/GHSA-5rfh-556j-fhgj
- https://github.com/git/git/security/advisories/GHSA-vm9j-46j9-qvq4
Injection de code indirecte à distance (XSS) dans Collabora Online
Le 2 avril 2024, Collabora Online a publié un avis de sécurité indiquant la présence d'une vulnérabilité de type injection de code indirecte à distance (XSS), avec pour identifiant CVE-2024-29182. Le CERT-FR a connaissance de codes d'exploitation publics.Lien :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
