Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

 

Vulnérabilités significatives de la semaine 18

Tableau récapitulatif :

Vulnérabilités critiques du 25/04/22 au 01/05/22

Editeur Produit Identifiant CVE Score CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
 CIRCL MISP CVE-2022-29528 9.8 Exécution de code arbitraire à distance 20/04/2022 Pas d’information https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-394/ https://www.misp-project.org/security/#advisories

Vulnérabilités antérieures

CVE-2022-1162 et CVE-2022-1175 : Multiples vulnérabilités dans GitLab

Le 31 mars 2022, GitLab a publié un avis concernant la vulnérabilité critique CVE-2022-1162. Un mot de passe en dur était utilisé dans le cadre d’OmniAuth, une bibliothèque visant à standardiser l’authentification par plusieurs fournisseurs. Ce mot de passe est désormais publique.

La vulnérabilité CVE-2022-1175 permet une injection de code indirecte à distance (XSS). Une preuve de concept est également disponible publiquement.

Liens :

CVE-2021-22054 : Vulnérabilité dans VMWare Workspace One UEM

Le 16 décembre 2021, l’éditeur a corrigé la vulnérabilité critique CVE-2021-22054 (CVSSv3 9,1) permettant à un attaquant de réaliser une exécution de code arbitraire à distance. Le 27 avril 2022, le chercheur qui a trouvé cette vulnérabilité a publié ses travaux en incluant une preuve de concept.

Le CERT-FR en profite pour rappeler que la vulnérabilité CVE-2022-22954 est activement exploitée. Celle-ci affecte VMWare Workspace One Access et son score CVSSv3 est de 9,8.

Liens :

CVE-2022-0543 : Vulnérabilité dans Redis

Des codes d’exploitation sont publiquement disponibles pour la vulnérabilité CVE-2022-0543. Cette vulnérabilité affecte les paquets Debian de Redis et permet une exécution de code arbitraire à distance.

Liens :


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 25 avril au 01 mai 2022, le CERT-FR a émis les publications suivantes :