Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 47

CVE-2021-44026 : Vulnérabilité dans RoundCube

Le 23 novembre 2021, l'éditeur a déclaré avoir corrigé une vulnérabilité critique dans son interface WebMail. Cette vulnérabilité permet à un attaquant d'injecter des commandes arbitraires dans une requête SQL. Le score actuellement établi par la NVD est de 9.8. La mise à jour de RoundCube est donc fortement recommandée.

Liens :

Multiples vulnérabilités dans les produits MOXA

Le 23 novembre 2021, l'éditeur Moxa a publié deux avis dans lesquels plusieurs vulnérabilités critiques sont mentionnées. Ces vulnérabilités ne disposent pas d'identifiant CVE.

Les produits NPort IAW5000A-I/O, dans une version du micrologiciel antérieure à la version 2.2, comportent des mots de passe et une clé cryptographique par défaut pouvant être utilisés par des attaquants pour accéder à l'équipement et contourner son mécanisme de chiffrement. Par ailleurs, le serveur web embarqué comporte des vulnérabilités que l'éditeur n'a pas souhaité détailler. Il est donc fortement recommandé de mettre à jour le micrologiciel des produits NPort.

Plusieurs vulnérabilités affectent les produits de la gamme ioLogik E2200. Un mot de passe par défaut peut être utilisé par un attaquant pour accéder à l'équipement à distance, cinq vulnérabilités permettent à un attaquant d'exécuter du code arbitraire ou de provoquer un déni de service. Il est fortement recommandé de contacter l'éditeur pour obtenir les correctifs.

L'absence de politique de gestion de mot de passe dans le logiciel ioAdmin Configuration Utility permet à un attaquant d'utiliser une technique de "force brute" afin d'obtenir les accès sur un équipement. Enfin, un attaquant pourrait accéder à la mémoire de l'équipement pour extraire des informations sensibles. Il est fortement recommandé de contacter l'éditeur pour obtenir les correctifs.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 22 novembre 2021 au 28 novembre 2021, le CERT-FR a émis les publications suivantes :